NFSアクセス制御のシナリオ

シナリオA: ホスト・ベースのアクセスの制御

2つのクライアントの管理対象ホスト環境を提供します。クライアントはマウント・ターゲットを共有しますが、それぞれに独自のファイル・システムがあり、互いのデータにアクセスできません。たとえば:

クライアントAはCIDRブロック10.0.0.0/24,に割り当てられ、ファイル・システムAへの読取り/書込みアクセス権が必要ですが、ファイル・システムBへの読取り/書込みアクセス権は必要ありません。
クライアントBはCIDRブロック10.1.1.0/24,に割り当てられ、ファイル・システムBへの読取り/書込みアクセス権が必要ですが、ファイル・システムAへの読取り/書込みアクセス権は必要ありません。
クライアントCはCIDRブロック10.2.2.0/24,に割り当てられ、ファイル・システムAまたはファイル・システムBにはどのような種類のアクセス権もありません。
ファイル・システムAとBの両方が、単一のマウント・ターゲットMT1に関連付けられています。各ファイル・システムには、MT1のエクスポート・セットに含まれるエクスポートがあります。

クライアントAとクライアントBは異なるCIDRブロックからマウント・ターゲットにアクセスするため、両方のファイル・システム・エクスポートのクライアント・オプションを設定して、単一のCIDRブロックのみへのアクセスを許可できます。クライアントCは、いずれかのファイル・システムのエクスポートに対して、NFSエクスポート・オプションにそのIPアドレスまたはCIDRブロックを含めずにアクセスを拒否されます。

Web UIの例

ファイル・システムAのエクスポート・オプションを設定して、CIDRブロック10.0.0.0/24に割り当てられているクライアントAへの読取り/書込みアクセスのみを許可します。クライアントBとクライアントCはこのCIDRブロックに含まれず、ファイル・システムにアクセスできません。

ノート:

「コンピュートWeb UI」でNFSエクスポート・オプションにアクセスする方法を学習するには、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ファイル・システム・ストレージ」章のNFSエクスポート・オプションの設定に関する項を参照してください。

ソース	ポート	アクセス	Squash	スクワッシュUID/GID
10.0.0.0/24	任意	読取り/書込み	なし	(使用されていません)

ファイル・システムBのエクスポート・オプションを設定して、CIDRブロック10.1.1.0/24に割り当てられているクライアントBへの読取り/書込みアクセスのみを許可します。クライアントAとクライアントCはこのCIDRブロックに含まれず、ファイル・システムにアクセスできません。

ソース	ポート	アクセス	Squash	スクワッシュUID/GID
10.1.1.0/24	任意	読取り/書込み	なし	(使用されていません)

CLIの例

ノート:

OCI CLIでNFSエクスポート・オプションにアクセスする方法については、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ファイル・システム・ストレージ」章のNFSエクスポート・オプションの設定に関する項を参照してください。

ファイル・システムAのエクスポート・オプションを設定して、CIDRブロック10.0.0.0/24に割り当てられているクライアントAへのRead_Writeアクセスのみを許可します。クライアントBとクライアントCはこのCIDRブロックに含まれず、ファイル・システムにアクセスできません。

oci fs export update --export-id File_system_A_export_ID --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'

ファイル・システムBのエクスポート・オプションを設定して、CIDRブロック10.1.1.0/24に割り当てられているクライアントBへのRead_Writeアクセスのみを許可します。クライアントAとクライアントCはこのCIDRブロックに含まれず、ファイル・システムにアクセスできません。

oci fs export update --export-id File_system_B_export_ID --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'

シナリオB: データ書込み機能の制限

消費のためにデータを顧客に提供しますが、データの更新は許可されません。

たとえば、アプリケーションが消費するが変更されないように、ファイル・システムAにリソースのセットを公開します。アプリケーションは、IPアドレス10.0.0.8から接続します。

Web UIの例

ファイル・システムAのエクスポートで、ソースIPアドレス10.0.0.8を読取り専用に設定します。

ノート:

「コンピュートWeb UI」でNFSエクスポート・オプションにアクセスする方法を学習するには、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ファイル・システム・ストレージ」章の「NFSエクスポート・オプションの設定」というセクションを参照してください。

ソース	ポート	アクセス	Squash	スクワッシュUID/GID
10.0.0.8	任意	読取り専用	なし	(使用されていません)

CLIの例

ノート:

OCI CLIでNFSエクスポート・オプションにアクセスする方法については、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ファイル・システム・ストレージ」章のNFSエクスポート・オプションの設定に関する項を参照してください。

ファイル・システムAのエクスポートで、ソースIPアドレス10.0.0.8をREAD_ONLYに設定します。

oci fs export update --export-id File_System_A_export_OCID --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'

シナリオC: ファイル・システムのセキュリティを向上

セキュリティを強化するために、ファイル・システムAへの接続時にrootユーザー権限を制限します。アイデンティティSquashを使用して、ルート・ユーザーをUアイデンティティ/Gアイデンティティ65534に再マップします。

UNIXのようなシステムでは、このUID/GIDの組み合わせは、システム特権を持たないユーザー' 「欠席」 '用に予約されています。

Web UIの例

ファイル・システムAのエクスポートで、ソースIPアドレス10.0.0.8を読取り専用に設定します。

ノート:

「コンピュートWeb UI」でNFSエクスポート・オプションにアクセスする方法を学習するには、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ファイル・システム・ストレージ」章のNFSエクスポート・オプションの設定に関する項を参照してください。

ソース	ポート	アクセス	Squash	スクワッシュUID/GID
0.0.0.0/0	任意	読取り/書込み	ルート	65534

CLIの例

ノート:

OCI CLIでNFSエクスポート・オプションにアクセスする方法については、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ファイル・システム・ストレージ」章のNFSエクスポート・オプションの設定に関する項を参照してください。

oci fs export update --export-id File_System_A_export_OCID --export-options   \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'