Dual-Protokoll/Multiprotokoll
Änderungen vorschlagen
PDFs
Google Cloud NetApp Volumes bietet die Möglichkeit, dieselben Datensätze sowohl für SMB- als auch ("Dual-Protokoll"für NFS-Clients zu nutzen, ohne dabei die Zugriffsberechtigungen zu gewährleisten. ) Dazu wird die Identitätszuordnung zwischen den Protokollen koordiniert und ein zentralisierter LDAP-Back-End-Server zur Bereitstellung der UNIX-Identitäten für die NetApp-Volumes von Google Cloud genutzt. Sie können Windows Active Directory verwenden, um sowohl Windows- als auch UNIX-Benutzer zur Benutzerfreundlichkeit bereitzustellen.
Zugriffssteuerung
-
Freigeben von Zugriffskontrollen. Bestimmen Sie, welche Clients und/oder Benutzer und Gruppen auf eine NAS-Freigabe zugreifen können. Für NFS kontrollieren Exportrichtlinien und Regeln den Client-Zugriff auf Exporte. NFS-Exporte werden von der Instanz von Google Cloud NetApp Volumes gemanagt. SMB nutzt CIFS/SMB-Freigaben und ACLs für die Freigabe von ACLs und ermöglicht eine granularere Kontrolle auf Benutzer- und Gruppenebene. Sie können ACLs auf Share-Ebene nur von SMB-Clients konfigurieren, indem Sie MMC/Computerverwaltung# mit einem Konto verwenden, das über Administratorrechte für die Instanzen von Google Cloud NetApp-Konten verfügt (siehe Abschnitt Link:ncvs-CFCIs-Administrator/TILIN-Administrator[/BUIN].
-
Dateizugriffssteuerung. Kontrollieren Sie Berechtigungen auf Datei- oder Ordnerebene und werden immer vom NAS-Client verwaltet. NFS Clients können die traditionellen Modus-Bits (rwx) oder NFSv4 ACLs nutzen. SMB-Clients nutzen NTFS-Berechtigungen.
Die Zugriffssteuerung für Volumes, die Daten sowohl für NFS als auch für SMB bereitstellen, hängt vom verwendeten Protokoll ab. Informationen zu Berechtigungen mit Dual-Protokoll finden Sie im Abschnitt „Berechtigungsmodell.“
Benutzerzuordnung
Wenn ein Client auf ein Volume zugreift, versucht Google Cloud NetApp Volumes, den eingehenden Benutzer einem gültigen Benutzer in die entgegengesetzte Richtung zuzuordnen. Dies ist notwendig, damit ein ordnungsgemäßer Zugriff über verschiedene Protokolle hinweg festgestellt werden kann und sicherzustellen ist, dass der Benutzer, der Zugriff beantragt, tatsächlich derjenige ist, der von ihm behauptet wird.
Wenn beispielsweise ein Windows-Benutzer mit dem Namen joe versucht, über SMB auf ein Volume mit UNIX-Berechtigungen zuzugreifen, führt Google Cloud NetApp Volumes eine Suche durch, um einen entsprechenden UNIX-Benutzer mit dem Namenzu finden joe. Wenn eine vorhanden ist, werden Dateien, die als Windows-Benutzer in eine SMB-Freigabe geschrieben werden, von NFS-Clients als UNIX-Benutzer joe angezeigt joe.
Wenn ein UNIX-Benutzer namens joe versucht, mit Windows-Berechtigungen auf ein Google Cloud NetApp Volumes-Volume zuzugreifen, muss der UNIX-Benutzer in der Lage sein, einem gültigen Windows-Benutzer zuzuordnen. Andernfalls wird der Zugriff auf das Volume verweigert.
Derzeit wird nur Active Directory für das externe UNIX-Identitätsmanagement mit LDAP unterstützt. Weitere Informationen zum Konfigurieren des Zugriffs auf diesen Dienst finden Sie unter "Erstellen einer AD-Verbindung".
Berechtigungsmodell
Bei der Verwendung von Konfigurationen mit zwei Protokollen nutzt Google Cloud NetApp Volumes zur Bestimmung des ACL-Typs Sicherheitstile für Volumes. Diese Sicherheitstile werden auf der Basis des angegebenen NAS-Protokolls festgelegt oder im Fall eines dualen Protokolls gilt die Wahl beim Erstellen von Google Cloud NetApp-Volumes.
-
Wenn Sie NFS nur verwenden, verwenden Google Cloud NetApp Volumes UNIX Berechtigungen.
-
Wenn Sie nur SMB verwenden, verwenden die Volumes von Google Cloud NetApp NTFS-Berechtigungen.
Wenn Sie ein Dual-Protokoll-Volume erstellen, können Sie bei der Volume-Erstellung den ACL-Stil wählen. Diese Entscheidung sollte auf der Grundlage der gewünschten Berechtigungsverwaltung getroffen werden. Wenn Ihre Benutzer Berechtigungen von Windows-/SMB-Clients verwalten, wählen Sie NTFS. Wenn Ihre Benutzer NFS-Clients und chmod/chown verwenden möchten, verwenden Sie UNIX-Sicherheitsmethoden.