Protocollo doppio/multiprotocollo
Suggerisci modifiche
PDF
Google Cloud NetApp Volumes offre la possibilità di condividere gli stessi set di dati sia ai client SMB che NFS mantenendo le autorizzazioni di accesso appropriate ("protocollo doppio"). Ciò avviene coordinando il mapping delle identità tra i protocolli e utilizzando un server LDAP backend centralizzato per fornire le identità UNIX ai volumi di Google Cloud NetApp. È possibile utilizzare Windows Active Directory per fornire agli utenti Windows e UNIX una maggiore facilità di utilizzo.
Controllo degli accessi
-
Controlli di accesso alla condivisione. Determinare quali client e/o utenti e gruppi possono accedere a una condivisione NAS. Per NFS, le policy e le regole di esportazione controllano l'accesso dei client alle esportazioni. Le esportazioni NFS vengono gestite dall'istanza dei volumi di Google Cloud NetApp. SMB utilizza le condivisioni CIFS/SMB e gli ACL di condivisione per fornire un controllo più granulare a livello di utente e gruppo. È possibile configurare gli ACL a livello di condivisione solo dai client SMB utilizzando MMC/Gestione computer con un account che dispone dei diritti di amministratore sull'istanza di Google Cloud NetApp Volumes (vedere la sezione link:ncvs-gc-smb.html#account con diritti di backup/BUTIN locale)["amministratore/TILN/diritti di backup/amministratore/TILIN].
-
File access control. Controlla le autorizzazioni a livello di file o cartella e sono sempre gestite dal client NAS. I client NFS possono utilizzare i bit di modalità tradizionali (rwx) o gli ACL NFSv4. I client SMB sfruttano le autorizzazioni NTFS.
Il controllo dell'accesso per i volumi che servono dati a NFS e SMB dipende dal protocollo in uso. Per informazioni sulle autorizzazioni con protocollo doppio, vedere la sezione "Modello di permesso."
Mappatura dell'utente
Quando un client accede a un volume, Google Cloud NetApp Volumes tenta di mappare l'utente in entrata a un utente valido nella direzione opposta. Ciò è necessario per determinare l'accesso corretto tra i protocolli e per garantire che l'utente che richiede l'accesso sia effettivamente quello che afferma di essere.
Ad esempio, se un utente Windows chiamato joe tenta di accedere a un volume con autorizzazioni UNIX tramite SMB, Google Cloud NetApp Volumes esegue una ricerca per trovare un utente UNIX corrispondente denominato joe. Se ne esiste uno, i file scritti in una condivisione SMB come utente Windows vengono visualizzati come utenti joe UNIX joe dai client NFS.
In alternativa, se un utente UNIX con nome joe tenta di accedere a un volume Google Cloud NetApp Volumes con autorizzazioni Windows, l'utente UNIX deve essere in grado di eseguire il mapping a un utente Windows valido. In caso contrario, l'accesso al volume viene negato.
Attualmente, solo Active Directory è supportato per la gestione esterna delle identità UNIX con LDAP. Per ulteriori informazioni sulla configurazione dell'accesso a questo servizio, vedere "Creazione di una connessione ad".
Modello di permesso
Quando si utilizzano configurazioni a doppio protocollo, Google Cloud NetApp Volumes utilizza gli stili di sicurezza per i volumi per determinare il tipo di ACL. Questi stili di sicurezza vengono impostati in base al protocollo NAS specificato, o nel caso di un protocollo doppio, è una scelta effettuata al momento della creazione del volume di Google Cloud NetApp Volumes.
-
Se utilizzi solo NFS, i volumi di Google Cloud NetApp usano autorizzazioni UNIX.
-
Se stai utilizzando solo SMB, i volumi di Google Cloud NetApp usano permessi NTFS.
Se si crea un volume a doppio protocollo, è possibile scegliere lo stile ACL alla creazione del volume. Questa decisione deve essere presa in base alla gestione delle autorizzazioni desiderata. Se gli utenti gestiscono le autorizzazioni dai client Windows/SMB, selezionare NTFS. Se gli utenti preferiscono utilizzare client NFS e chmod/chown, utilizzare gli stili di sicurezza UNIX.