Exportoptionen für File Storage
Zur Beschränkung des Cloud@Customer-Compute können Sie mit NFS-Exportoptionen die mehr Granularität als reinen Sicherheitslistenregeln zum Einschränken des VCN-Zugriffs gewähren. Mit NFS-Exportoptionen können Sie Zugriffsebenen für IP-Adressen oder CIDR-Blöcke angeben, die über Exporte in einem Mountziel Verbindungen zu Dateisystemen herstellen. Der Zugriff kann so eingeschränkt werden, dass auf das Dateisystem jedes Clients nicht zugegriffen werden kann und für den anderen nicht sichtbar ist. So verbessern Sie die Sicherheitskontrollen in mehrmandantenfähiger Umgebung.
Mit den Zugriffskontrollen für NFS-Exportoptionen können Sie den Zugriff der Clients einschränken, eine Verbindung mit dem Dateisystem herstellen und Daten anzeigen oder schreiben. Beispiel: Wenn Sie zulassen möchten, dass Clients Ressourcen in Ihrem Dateisystem konsumieren, jedoch nicht aktualisieren, können Sie den Zugriff auf "Schreibgeschützt" setzen. Sie können auch den Root-Zugriff des Clients auf Dateisysteme reduzieren und bestimmten Benutzer-IDs (UIDs) und Gruppen-IDs (GIDs) einer anonymen UID/GID Ihrer Wahl zuordnen.
Exportoptionen
Exporte steuern, wie NFS-Clients auf Dateisysteme zugreifen, wenn sie sich mit einem Mountziel verbinden. Dateisysteme werden über Mountziele exportiert (zur Verfügung gestellt).
NFS-Exportoptionen sind eine Gruppe von Parametern innerhalb des Exports, mit denen die Zugriffsebene angegeben wird, die NFS-Clients beim Herstellen einer Verbindung zu einem Mountziel erteilt wird. Ein Eintrag für NFS-Exportoptionen innerhalb eines Exports definiert den Zugriff für eine einzelne IP-Adresse oder einen CIDR-Blockbereich. Pro Dateisystem sind bis zu 100 Optionen möglich.
Jede separate Client-IP-Adresse oder jeder einzelne CIDR-Block, für den Sie den Zugriff definieren möchten, erfordert einen separaten Eintrag der Exportoptionen im Export. Beispiel: Wenn Sie Optionen für die NFS-Client-IP-Adressen 10.0.0.6, 10.0.0.08 und 10.0.0.10 festlegen möchten, müssen Sie drei separate Einträge erstellen, einen für jede IP-Adresse.
Wenn mehrere Exporte dasselbe Dateisystem und dasselbe Mountziel verwenden, sind die Exportoptionen, die auf eine Instanz angewendet werden, die Optionen mit einer Quelle, die am ehesten mit der IP-Adresse der Instanz übereinstimmt. Die kleinste (höchste) Übereinstimmung hat für alle Exporte Vorrang. Aus diesem Grund können Sie bestimmen, welche Exportoptionen auf eine Instanz angewendet werden, indem Sie den Quellwert aller Exporte prüfen.
Beispiel: Die beiden folgenden Exportoptionseinträge legen den Zugriff für einen Export fest:
Eintrag 1: Quelle: 10.0.0.8/32, Zugriff: Lesen/Schreiben
Eintrag 2: Quelle: 10.0.0.0/16, Zugriff: Schreibgeschützt
In diesem Fall haben Clients, die über die IP-Adresse 10.0.0.8 mit dem Export verbunden sind, Lese-/Schreibzugriff. Wenn mehrere Exportoptionen vorhanden sind, wird die spezifischste Übereinstimmung angewendet.
Wenn mehrere Dateisysteme in dasselbe Mountziel exportiert werden, müssen Sie zuerst das kleinste Netzwerk (die größte CIDR-Nummer) in das Mountziel exportieren. Ausführliche Informationen und Anweisungen finden Sie in der My Oracle Support-Dokument-ID 2823994.1.
Dateisysteme können einem oder mehreren Exporten zugeordnet werden, die in einem oder mehreren Mountzielen enthalten ist.
Wenn die IP-Adresse der Clientquelle mit keinem Eintrag in der Liste für einen einzelnen Export übereinstimmt, ist dieser Export nicht für den Client sichtbar. Auf das Dateisystem kann jedoch über andere Exporte auf demselben oder anderen Mountzielen zugegriffen werden. Um den Clientzugriff auf ein Dateisystem vollständig zu verweigern, stellen Sie sicher, dass die IP-Adresse oder der CIDR-Block der Clientquelle in keinem Export für ein mit dem Dateisystem verknüpftes Mountziel eingeschlossen ist.
Informationen zum Konfigurieren von Exportoptionen für verschiedene Szenarios für die Dateifreigabe finden Sie unter NFS-Zugriffskontrollszenarios.
Weitere Informationen zum Konfigurieren von Exportoptionen finden Sie im Abschnitt NFS-Exportoptionen festlegen.
Standardwerte für NFS-Exportoptionen
Wenn Sie das Dateisystem erstellen und exportieren, werden die NFS-Exportoptionen für dieses Dateisystem auf die folgenden Standardwerte gesetzt, die allen NFS-Clientquellverbindungen vollständigen Zugriff gewähren. Diese Standardwerte müssen geändert werden, wenn Sie den Zugriff einschränken möchten:
Hinweis – Wenn Sie die Exportoptionen mit der CLI festlegen und die Optionen mit einem leeren Array festlegen (keine Optionen angegeben), ist der Export für keine Clients zugänglich.
| Exportoption in der Konsole | Exportoption in der CLI | Standardwert | Beschreibung |
|---|---|---|---|
| Quelle: |
|
0.0.0.0/0 |
Die IP-Adresse oder der CIDR-Block eines zu verbindenden NFS-Clients. |
| Ports: |
|
Beliebig |
Immer gesetzt auf:
|
| Zugriff: |
|
Lesen/Schreiben |
Gibt den NFS-Clientzugriff der Quelle an. Kann auf einen der folgenden Werte gesetzt werden:
|
| Squash: |
|
Keine |
Bestimmt, ob die Benutzer-ID (UID) und Gruppen-ID (GID) der Clients, die auf das Dateisystem als Root zugreifen, der Squash-UID/GID neu zugeordnet wurden. Mögliche Werte:
|
| Squash-UID/-GID: |
|
65.534 |
Diese Einstellung wird zusammen mit der Squash-Option verwendet. Beim erneuten Zuordnen eines Root-Benutzers können Sie diese Einstellung verwenden, um die Standardwerte für anonymousUid und anonymousGid in eine beliebige Benutzer-ID Ihrer Wahl zu wechseln. |
NFS-Zugriffskontrollszenarios
In Compute Cloud@Customer erfahren Sie, wie Sie den NFS-Zugriff auf verschiedene Arten kontrollieren können, indem Sie einige Szenarios prüfen.
- Szenario A: Hostbasierten Zugriff steuern: Stellt eine verwaltete Umgebung für zwei Clients bereit. Die Clients teilen sich ein Mountziel. Jeder Client verfügt jedoch über sein eigenes Dateisystem und kann auf keine Daten der anderen Clients zugreifen.
- Szenario B: Fähigkeit zum Schreiben von Daten einschränken: Stellt Clients Daten zur Nutzung zur Verfügung, erlaubt ihnen jedoch nicht, die Daten zu aktualisieren.
- Szenario C: Dateisystemsicherheit verbessern: Erhöht die Sicherheit, indem die Berechtigungen des Root-Benutzers beim Herstellen einer Verbindung zu einem Dateisystem eingeschränkt werden.
Szenario A: Hostbasierten Zugriff kontrollieren
Geben Sie auf Compute Cloud@Customer eine verwaltete gehostete Umgebung für zwei Clients an. Die Clients teilen sich ein Mountziel. Jeder Client verfügt jedoch über sein eigenes Dateisystem und kann auf die Daten des anderen Client nicht zugreifen.
Beispiel:
-
Client A ist dem CIDR-Block 10.0.0.0/24 zugewiesen und benötigt Lese-/Schreibzugang auf Dateisystem A, jedoch nicht Auf Dateisystem C.
-
Client B, dem CIDR-Block 10.1.1.0/24 zugewiesen ist, benötigt Lese-/Schreibzugang auf Dateisystem B, jedoch nicht Auf Dateisystem C.
-
Client C ist dem CIDR-Block 10.2.2.0/24 zugewiesen ist, hat keinerlei Zugriff auf Dateisystem A oder Dateisystem B.
-
Beide Dateisysteme A und B sind einem einzelnen Mountziel (MT1) zugeordnet. Jedes Dateisystem verfügt über einen Export, der sich im Exportset von MT1 befindet.
Da Client A und Client B von verschiedenen CIDR-Blöcken aus auf das Mountziel zugreifen, können Sie die Clientoptionen für beide Dateisystemexporte so festlegen, dass nur ein einzelner CIDR-Block Zugriff möglich ist. Client C wird der Zugriff verweigert, indem weder seine IP-Adresse noch der CIDR-Block in die NFS-Exportoptionen für einen Export eines der Dateisysteme aufgenommen werden.
Konsolenbeispiel
Stellen Sie die Exportoptionen für Dateisystem A so ein, dass nur Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, Lese-/Schreibzugriff erhält. Client B und Client C ist in diesem CIDR-Block Nicht enthalten und kann nicht auf das Dateisystem zugreifen.
Weitere Informationen zum Zugriff auf die NFS-Exportoptionen in der Konsole finden Sie unter NFS-Exportoptionen festlegen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 10.0.0.0/24 | Beliebig | Lesen/Schreiben | Keine | (nicht verwendet) |
Stellen Sie die Exportoptionen für Dateisystem B so ein, dass nur Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, Lese-/Schreibzugriff erhält. Client A und Client C befinden sich nicht in diesem CIDR-Block und können auf das Dateisystem nicht zugreifen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 10.1.1.0/24 | Beliebig | Lesen/Schreiben | Keine | (nicht verwendet) |
CLI-Beispiel
Weitere Informationen zum Zugriff auf die NFS-Exportoptionen in der CLI finden Sie unter NFS-Exportoptionen festlegen.
Stellen Sie die Exportoptionen für Dateisystem A so ein, dass nur Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, Read_Write Zugriff erhält. Client B und Client C ist in diesem CIDR-Block Nicht enthalten und kann nicht auf das Dateisystem zugreifen.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Stellen Sie die Exportoptionen für Dateisystem B so ein, dass nur Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, Read_Write Zugriff erhält. Client A und Client C sind in diesem CIDR-Block nicht enthalten und können auf das Dateisystem nicht zugreifen.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Szenario B: Fähigkeit zum Schreiben von Daten einschränken
Geben Sie auf Compute Cloud@Customer Kunden Daten zur Nutzung an, ohne ihnen das Aktualisieren der Daten zu ermöglichen.
Beispiel: Sie möchten Ressourcen in Dateisystem A veröffentlichen, die von einer Anwendung konsumiert, aber nicht geändert werden sollen. Die Anwendung stellt eine Verbindung von der IP-Adresse 10.0.0.8 her.
Konsolenbeispiel
Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem B auf "Schreibgeschützt".
Weitere Informationen zum Zugriff auf die NFS-Exportoptionen in der Konsole finden Sie unter NFS-Exportoptionen festlegen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 10.0.0.8 | Beliebig | Schreibgeschützt | Keine | (nicht verwendet) |
CLI-Beispiel
Weitere Informationen zum Zugriff auf die NFS-Exportoptionen in der CLI finden Sie unter NFS-Exportoptionen festlegen.
Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem B auf READ_ONLY.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Szenario C: Dateisystemsicherheit verbessern
Um die Sicherheit auf Compute Cloud@Customer zu erhöhen, können Sie die Berechtigungen des Root-Benutzers beim Herstellen einer Verbindung zu Dateisystem A einschränken. Verwenden Sie Identity-Squash, um Root-Benutzer UID/GID 65534 neu zuzuordnen.
In UNIX-ähnlichen Systemen ist diese Kombination aus UID/GID für "nobody" reserviert, ein Benutzer ohne Systemberechtigungen.
Konsolenbeispiel
Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem B auf "Schreibgeschützt".
Weitere Informationen zum Zugriff auf die NFS-Exportoptionen in der Konsole finden Sie unter NFS-Exportoptionen festlegen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 0.0.0.0/0 | Beliebig | Lesen/Schreiben | Stamm | 65.534 |
CLI-Beispiel
Weitere Informationen zum Zugriff auf die NFS-Exportoptionen in der CLI finden Sie unter NFS-Exportoptionen festlegen.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'