Mit NFSv4.1 können Qumulo-Kunden eine fein abgestufte Berechtigungskontrolle an Endbenutzer delegieren, wodurch die Erfahrung in Bezug auf Skalierbarkeit, Interoperabilität, Sicherheit und einfache Verwaltung verbessert wird.
Im Jahr 2021 stehen Datensicherheit und Datenschutz im Vordergrund – insbesondere in den Bereichen Finanzinformationsdienste (FIS), Biowissenschaften und Hochschulbildung. Speicheradministratoren dieser Unternehmen sind zunehmend besorgt über:
- Genau wissen, wer auf Ihr Datenspeichersystem zugreift
- Kontrollieren, auf welche Daten sie zugreifen und sie ändern dürfen
Was ist das Network File System (NFS)-Protokoll?
Das NFS-Protokoll wurde in den 1980er Jahren erfunden, um das Problem zu lösen, Benutzern von Dateidaten, die tatsächlich remote über das Netzwerk gespeichert wurden, eine lokale Dateisystemerfahrung zu bieten. Das Protokoll bietet eine Spezifikation für Remote Procedure Calls (RPCs), die dieselben internen Dateisystem-APIs nachahmen, die in dateibasierten Anwendungen verwendet werden – wie Daten lesen, Daten schreiben, Verzeichnis suchen, Berechtigungen festlegen usw. Betriebssysteme wie Unix, Solaris, BSD , und Linux-basierte Distributionen wie Ubuntu, RedHat, CentOS, Fedora und Debian werden alle mit einem integrierten NFS-Client geliefert, der es diesen Systemen ermöglicht, eine Verbindung herzustellen und Benutzern und Anwendungen einen Einhängepunkt zu präsentieren, ohne dass benutzerdefinierte Treiber oder Anbieter installiert werden müssen -spezifische Software.
Was ist NFSv4.1?
Qumulo hat in der Vergangenheit nur Version 3 des NFS-Protokolls unterstützt. Während wir derzeit Windows- und Mac-Benutzern eine starke Authentifizierung und Zugriffskontrolle über SMB anbieten, fehlen NFSv3 starke Authentifizierungsmechanismen für Linux/POSIX-Benutzer und es gibt keine Möglichkeit, fein abgestufte Berechtigungen direkt über Windows-ähnliche ACL (Access Control Lists) zu verwenden.
Die Geschichte ändert sich mit NFSv4.1. Die Version des NFS-Protokolls unterstützt starke kryptografische Authentifizierungsmechanismen über Kerberos sowie die Abwehr von Man-in-the-Middle-Angriffen und Verschlüsselung über das Kabel. NFSv4.1 bietet auch eine Methode zum Anzeigen und Ändern von Windows-ähnlichen ACLs für eine fein abgestufte Berechtigungssteuerung für Dateien und Verzeichnisse. Dies bedeutet, dass IT-Manager die Datenzugriffskontrolle an einen Projektinhaber/Endbenutzer delegieren können, damit der Projektinhaber bestimmten Personen Zugriff gewähren kann. Die Daten sind nur für Mitarbeiter zugänglich, die der ACL vom Projektbesitzer/Endbenutzer hinzugefügt werden.
Umgekehrt ist der traditionelle Weg, dies über POSIX NFSv3 zu tun, komplexer. Um einen neuen Benutzer hinzuzufügen, muss der IT-Manager jeden in einer Gruppe identifizieren, der Daten teilen möchte. Anschließend müssen sie die Gruppe in ihrem Verzeichnisdienst (dh LDAP) erstellen und verwalten. Dadurch entsteht ein Flaschenhals für die Zusammenarbeit. Es erzeugt auch einen Management-Albtraum, da die Anzahl der verschiedenen Kombinationen von Benutzern, die zusammenarbeiten müssen, im Laufe der Zeit wächst. NFSv4.1 löst dieses Problem für die IT, den Projektverantwortlichen und Endbenutzer.
So lösen Sie das Problem des sicheren Dateidatenzugriffs und der Zusammenarbeit für Kunden
Um Kunden zu helfen, die Datenzusammenarbeit zwischen großen und unterschiedlichen Benutzergruppen zu vereinfachen und zu sichern, hat Qumulo einen völlig neuen NFSv4.1-Protokollstack entwickelt, um Workloads und Kunden zu unterstützen, die eine stärkere Sicherheit benötigen als derzeit von NFSv3 bereitgestellt wird. Qumulo unterstützt Protokollversion des Netzwerkdateisystems 4.1 in der neuesten Version von Qumulo®-Kern. Die Unterstützung für NFSv4.1 ist in Qumulo Core Version 4.3.0 ohne zusätzliche Kosten enthalten.
„Der entscheidende Vorteil, den Qumulo durch unsere Unterstützung dieser neuen Version von NFS – wie alle unsere Dateizugriffsprotokolle – mit sich bringt, besteht darin, dass sie in den Qumulo Core, unsere Software, integriert ist, was bedeutet, dass sie für Leistung, Zuverlässigkeit und Sicherheit optimiert ist von Grund auf, skaliert linear, wenn Kunden ihre Systeme erweitern, und läuft einheitlich, egal wo Kunden Qumulo einsetzen“, sagte Ben Gitenstein, Vice President of Product bei Qumulo.
Die protokollübergreifende Verwaltung von Berechtigungen in einem einzigen Namespace kann eine Herausforderung darstellen, insbesondere wenn eine Änderung an einem Protokoll nicht automatisch auf andere repliziert wird. Qumulo bietet Unterstützung für protokollübergreifende Berechtigungen (XPP), um komplexe Berechtigungen protokollübergreifend automatisch zu verwalten. NFSv4.1 unterstützt XPP out-of-box, wodurch die Komplexität der Verwaltung mehrerer Sicherheitskontexte in NFSv4.1 zusätzlich zu SMB, NFSv3 und unseren anderen unterstützten Protokollen entfällt. Auf diese Weise können Kunden Arbeitsgruppen zusammenführen, sodass jeder Benutzer von jeder Plattform aus an jeder Datei arbeiten kann, ohne die Dateiberechtigungen beizubehalten.
„Unsere Kunden müssen alle ihre Datei-Workloads von einem Namensraum und mit einer einfachen Verwaltungserfahrung bedienen“, erklärt Gitenstein. „Diese Unternehmen setzen zunehmend NFSv4.1 ein, um von der robusteren Sicherheit, der besseren Leistung über verteilte Netzwerke wie der Cloud und der einfacheren Verwaltung zu profitieren. Deshalb haben wir NFSv4.1 zu Qumulo Core gebracht.“
Um mehr über XPP zu erfahren, einschließlich „Was ist eine Zugriffskontrollliste?“ lesen: Verwalten von Workflows für den Dateizugriff auf mehrere Protokolle mit protokollübergreifenden Berechtigungen von Jacqueline Kong, Software-Ingenieurin und technische Mitarbeiterin bei Qumulo.
Arbeiten Sie mit nahtlosem Dateizugriff auf Ihre Daten über Linux-, Windows- und Mac-Anwendungen hinweg zusammen
Qumulo-Cloud-Kunden können NFSv4.1 sofort für alle ihre Workloads in AWS, Google Cloud oder Microsoft Azure nutzen. NFSv4.1 ist ideal für Cloud-Umgebungen mit zusätzlicher Komplexität von Netzwerksicherheitsgruppen, Load Balancern und höherer Latenz. NFSv4.1 verwendet nur einen Netzwerkport, im Gegensatz zu 3-5 für NFSv3, was die Cloud-Netzwerkkonfiguration vereinfacht. Das Protokoll bündelt auch mehr Arbeit in einer einzigen Anfrage, was den Datenübertragungsdurchsatz bei Verbindungen mit hoher Latenz unterstützt.
Die überlegene Skalierbarkeit von Qumulo bedeutet, dass Qumulo Core 4.3 und höher mit Unterstützung für NFSv4.1 die Erstellung des größten Multiprotokoll-Dateinamensraums für aktiven Speicher im Vergleich zu konkurrierenden Plattformen oder Cloud-Service-Providern (CSP) ermöglicht.
„Die einfache und unkomplizierte Systemarchitektur von Qumulo macht es für uns sehr gut geeignet“, sagte Clint Miller, Chief Technology Officer von Igniter Media. „Wir haben ein kleines Team, daher ist Benutzerfreundlichkeit wichtig und spart wertvolle Zeit. Wir bevorzugen es, unsere Abläufe reibungslos und einfach zu halten.“
Im Vergleich zu NFSv3 bietet das NFSv4.1-Protokoll eine sicherere Tür für die Interaktion und den Zugriff auf Daten. Um es noch sicherer und leistungsfähiger zu machen, haben wir das Protokoll von Grund auf in der Programmiersprache Rust als Funktion unseres verteilten Scale-out-NAS entwickelt. Wir mussten dies in erster Linie tun, weil NFSv4.1 ein zustandsbehaftetes Protokoll ist und eine Standardimplementierung und der Versuch, sie an unser System zu binden, dazu führen würde, dass jedes Mal, wenn wir über einen Knoten fehlgeschlagen sind oder versucht, eine Sperre über einen Knoten hinweg zu implementieren, ein Fehler aufgetreten ist Shared-Nothing-verteiltes System.
Rust bietet im Vergleich zu C auch einige Speichersicherheitsgarantien, indem es unsere Programmierer zwingt, vorsichtig zu sein, wie Speicher von verschiedenen Teilen des Systems gemeinsam genutzt und darauf zugegriffen wird. Dies führt dazu, dass die Ingenieure von Qumulo in der Lage sind, Code schnell mit hohem Vertrauen in die Korrektheit und Speichersicherheit bereitzustellen, was bedeutet, dass Ihre Daten auf einem Qumulo-System sicherer sind als auf anderen.
Durch die Implementierung von NFSv4 innerhalb von Qumulo Core auf Codeebene vermeiden wir außerdem unordentliche Abstraktionen, die einen erheblichen Verarbeitungsaufwand, Kernel-Kontextwechsel und das Kopieren von Daten verursachen. Diese Ineffizienzen sind unvermeidlich, wenn Sie einfach eine Protokollimplementierung eines Drittanbieters vor einem Speichersystem platzieren, und nahezu unmöglich zu optimieren.
Schließlich bedeutet der Vorteil, dass Qumulo eine eigene Implementierung gegenüber der eines Drittanbieters hat, dass wir nicht anfällig für ernsthafte Sicherheitsprobleme in Open Source- oder anderen Implementierungen sind, für deren Behebung eine Brandschutzübung erforderlich ist. Dies bietet Sicherheit, wenn wichtige CVEs offengelegt werden.
Es sind Ihre Daten. Greifen Sie darauf zu, wie Sie möchten.
Unsere Kunden müssen sich keine Gedanken darüber machen, ob sich eine Anwendung in der Cloud, lokal oder in einer Legacy-Anwendung befindet – Benutzer können durch eine beliebige Anzahl von Türen auf das Qumulo-Dateisystem zugreifen, um die Daten zu erhalten, die sie für die Zusammenarbeit benötigen, einschließlich SMB, HTTP, REST, NFS3 und jetzt NFSv4.1.
NVSv4.1 wird standardmäßig mit einem Qumulo-Software-Abonnement geliefert und inkrementelle Software-Releases stehen den Kunden alle zwei Wochen zur Verfügung. Qumulos Continuous Innovation/Continuous Delivery (CI/CD)-Release-Zyklus stellt sicher, dass Kunden nicht auf neue Funktionen warten müssen. Das NFSv4.1-Protokoll unterstützt alle Funktionen, die in der NFSv3-Implementierung von Qumulo verfügbar sind, sowie ACLs und Kerberos-Netzwerkprotokollauthentifizierung.
