Exportoptionen für File Storage
Mit den NFS-Exportoptionen von Compute Cloud@Customer können Sie präzisere Zugriffskontrollen erstellen, als mit Sicherheitslistenregeln der VCN-Zugriff eingeschränkt werden kann. Mit den NFS-Exportoptionen können Sie Zugriffsebenen für IP-Adressen oder CIDR-Blöcke angeben, die über Exporte in einem Mount-Ziel Verbindungen mit Dateisystemen herstellen. Der Zugriff kann so eingeschränkt werden, dass das Dateisystem jedes Clients für den anderen nicht zugänglich und nicht sichtbar ist. So verbessern Sie die Sicherheitskontrollen in mehrmandantenfähigen Umgebungen.
Mit den Zugriffskontrollen der NFS-Exportoptionen können Sie die Fähigkeit der Clients einschränken, sich beim Dateisystem anzumelden und Daten anzuzeigen oder zu schreiben. Beispiel: Wenn Sie zulassen möchten, dass Clients Ressourcen in Ihrem Dateisystem nutzen, jedoch nicht aktualisieren, können Sie den Zugriff auf schreibgeschützt setzen. Sie können auch den Root-Zugriff des Clients auf Dateisysteme reduzieren und bestimmte Benutzer-IDs (UIDs) und Gruppen-IDs (GIDs) einer einzelnen anonymen UID/GID Ihrer Wahl zuordnen.
Exportoptionen
Exporte steuern, wie NFS-Client auf Dateisysteme zugreifen, wenn sie sich mit einem Mount-Ziel verbinden. Dateisysteme werden über Mount-Ziele exportiert (zur Verfügung gestellt).
NFS-Exportoptionen sind eine Gruppe von Parametern im Export, mit denen die Zugriffsebene angegeben wird, die NFS-Clients bei der Anmeldung bei einem Mountziel erteilt wird. Ein Eintrag für NFS-Exportoptionen innerhalb eines Exports definiert den Zugriff für eine einzelne IP-Adresse oder einen CIDR-Blockbereich. Pro Dateisystem sind bis zu 100 Optionen möglich.
Jede separate Client-IP-Adresse oder jeder separate CIDR-Block, für den Sie den Zugriff definieren möchten, erfordert einen separaten Eintrag für Exportoptionen im Export. Beispiel: Wenn Sie Optionen für die NFS-Client-IP-Adressen 10.0.0.6, 10.0.0.08 und 10.0.0.10 festlegen möchten, müssen Sie drei separate Einträge erstellen, einen für jede IP-Adresse.
Wenn mehrere Exporte dasselbe Dateisystem und dasselbe Mountziel verwenden, sind die Exportoptionen, die auf eine Instanz angewendet werden, die Optionen mit einer Quelle, die der IP-Adresse der Instanz am nächsten kommt. Die kleinste (bestimmte) Übereinstimmung hat bei allen Exporten Vorrang. Daher können Sie bestimmen, welche Exportoptionen auf eine Instanz angewendet werden, indem Sie den Quellwert aller Exporte prüfen.
Beispiel: Die beiden folgenden Exportoptionseinträge legen den Zugriff für einen Export fest:
Eintrag 1: Quelle: 10.0.0.8/32, Zugriff: Lesen/Schreiben
Eintrag 2: Quelle: 10.0.0.0/16, Zugriff: Schreibgeschützt
In diesem Fall haben Clients, die über die IP-Adresse 10.0.0.8 mit dem Export verbunden werden, Lese-/Schreibzugriff. Wenn mehrere Exportoptionen vorhanden sind, wird die spezifischste Übereinstimmung angewendet.
Wenn mehrere Dateisysteme in dasselbe Mountziel exportiert werden, müssen Sie zuerst in das Mountziel mit dem kleinsten Netzwerk (größte CIDR-Nummer) exportieren. Ausführliche Informationen und Anweisungen finden Sie in der Dokument-ID 2823994.1 von My Oracle Support.
Dateisysteme können einem oder mehreren Exporten zugeordnet werden, die in einem oder mehreren Mountzielen enthalten sind.
Wenn die IP-Adresse der Clientquelle mit keinem Eintrag in der Liste für einen einzelnen Export übereinstimmt, ist dieser Export für den Client nicht sichtbar. Auf das Dateisystem kann jedoch über andere Exporte auf demselben oder anderen Mountzielen zugegriffen werden. Um den Clientzugriff auf ein Dateisystem vollständig abzulehnen, stellen Sie sicher, dass die IP-Adresse oder der CIDR-Block der Clientquelle in keinem Export für ein mit dem Dateisystem verknüpftes Mountziel eingeschlossen ist.
Informationen zum Konfigurieren von Exportoptionen für verschiedene Dateifreigabeszenarios finden Sie unter NFS-Zugriffskontrollszenarios.
Weitere Informationen zum Konfigurieren von Exportoptionen finden Sie im Abschnitt Festlegen von NFS-Exportoptionen.
Standardwerte für NFS-Exportoptionen
Wenn Sie ein Dateisystem erstellen und exportieren, werden die NFS-Exportoptionen für dieses Dateisystem auf die folgenden Standardwerte gesetzt, die allen NFS-Clientquellverbindungen vollständigen Zugriff gewähren. Diese Standardwerte müssen geändert werden, wenn Sie den Zugriff einschränken möchten:
Hinweis: Wenn Sie die Exportoptionen mit der CLI festlegen und die Optionen mit einem leeren Array festlegen (keine Optionen angegeben), ist der Export für Clients nicht zugänglich.
| Exportoption in der Compute Cloud@Customer-Konsole | Exportoption in der CLI | Standardwert | Beschreibung |
|---|---|---|---|
| Quelle: |
|
0.0.0.0/0 |
Die IP-Adresse oder der CIDR-Block einer Verbindung zu einem NFS-Client. |
| Ports: |
|
Jeder |
Ist immer gesetzt auf:
|
| Zugriff: |
|
Schreib-/Lesezugriff |
Gibt den NFS-Clientzugriff der Quelle an. Kann auf einen der folgenden Werte gesetzt werden:
|
| Squash: |
|
- |
Bestimmt, ob die Benutzer-ID (UID) und die Gruppen-ID (GID) der Clients, die als Root auf das Dateisystem zugreifen, der Squash-UID/GID neu zugeordnet werden. Mögliche Werte:
|
| Squash-UID/GID: |
|
65.534 |
Diese Einstellung wird mit der Squash-Option verwendet. Wenn Sie einen Root-Benutzer neu zuordnen, können Sie diese Einstellung verwenden, um die Standardwerte anonymousUid und anonymousGid in eine beliebige Benutzer-ID Ihrer Wahl zu ändern. |
NFS-Zugriffskontrollszenarios
Lernen Sie auf Compute Cloud@Customer verschiedene Möglichkeiten kennen, den NFS-Zugriff zu kontrollieren, indem Sie einige Szenarios prüfen.
- Szenario A: Hostbasierten Zugriff kontrollieren: Stellt eine verwaltete Umgebung für zwei Clients bereit. Die Clients teilen sich ein Mountziel. Jeder Client verfügt jedoch über ein eigenes Dateisystem und kann nicht auf die Daten anderer Clients zugreifen.
- Szenario B: Beschränken Sie die Schreibfähigkeit von Daten: Stellt Clients Daten zur Nutzung zur Verfügung, lässt sie jedoch nicht zu, die Daten zu aktualisieren.
- Szenario C: Dateisystemsicherheit verbessern: Erhöht die Sicherheit, indem die Berechtigungen des Root-Benutzers bei der Verbindung mit einem Dateisystem eingeschränkt werden.
Szenario A: Hostbasierten Zugriff kontrollieren
Stellen Sie auf Compute Cloud@Customer eine verwaltete gehostete Umgebung für zwei Clients bereit. Die Clients teilen sich ein Mount-Ziel. Jeder Client verfügt jedoch über ein eigenes Dateisystem und kann nicht auf die Daten des anderen Clients zugreifen.
Beispiele:
-
Client A ist CIDR-Block 10.0.0.0/24 zugewiesen und erfordert Lese-/Schreibzugriff auf Dateisystem A, jedoch nicht auf Dateisystem B.
-
Client B ist CIDR-Block 10.1.1.0/24 zugewiesen und erfordert Lese-/Schreibzugriff auf Dateisystem B, jedoch nicht auf Dateisystem A.
-
Client C ist CIDR-Block 10.2.2.0/24 zugewiesen und hat keinerlei Zugriff auf Dateisystem A oder Dateisystem B.
-
Beide Dateisysteme (A und B) sind mit einem einzelnen Mountziel (MT1) verknüpft. Jedes Dateisystem verfügt über einen Export, der sich im Exportset MT1 befindet.
Da Client A und Client B von verschiedenen CIDR-Blöcken aus auf das Mount-Ziel zugreifen, können Sie die Clientoptionen für beide Dateisystemexporte so festlegen, dass der Zugriff auf nur einen einzelnen CIDR-Block möglich ist. Client C wird der Zugriff verweigert, indem weder seine IP-Adresse noch sein CIDR-Block in die NFS-Exportoptionen für den Export eines der Dateisysteme aufgenommen wird.
Beispiel für die Compute Cloud@Customer-Konsole
Legen Sie die Exportoptionen für Dateisystem A so fest, dass nur Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, Lese- und Schreibzugriff erhält. Client B und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen.
Informationen zum Zugriff auf die NFS-Exportoptionen in der Compute Cloud@Customer-Konsole finden Sie unter NFS-Exportoptionen festlegen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 10.0.0.0/24 | Jeder | Schreib-/Lesezugriff | - | (nicht verwendet) |
Legen Sie die Exportoptionen für Dateisystem B so fest, dass nur Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, Lese- und Schreibzugriff erhält. Client A und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 10.1.1.0/24 | Jeder | Schreib-/Lesezugriff | - | (nicht verwendet) |
CLI-Beispiel
Informationen zum Zugriff auf die NFS-Exportoptionen in der CLI finden Sie unter Festlegen von NFS-Exportoptionen.
Legen Sie die Exportoptionen für Dateisystem A so fest, dass nur Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, Read_Write Zugriff erhält. Client B und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Legen Sie die Exportoptionen für Dateisystem B so fest, dass nur Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, Read_Write Zugriff erhält. Client A und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Szenario B: Fähigkeit zum Schreiben von Daten einschränken
Stellen Sie Kunden in Compute Cloud@Customer Daten zur Verfügung, ohne ihnen das Aktualisieren der Daten zu ermöglichen.
Beispiel: Sie möchten Ressourcen in Dateisystem A veröffentlichen, die von einer Anwendung konsumiert, aber nicht geändert werden sollen. Die Anwendung verbindet sich über die IP-Adresse 10.0.0.8.
Beispiel für die Compute Cloud@Customer-Konsole
Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem A auf schreibgeschützt:
Informationen zum Zugriff auf die NFS-Exportoptionen in der Compute Cloud@Customer-Konsole finden Sie unter NFS-Exportoptionen festlegen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 10.0.0.8 | Jeder | Schreibgeschützt | - | (nicht verwendet) |
CLI-Beispiel
Informationen zum Zugriff auf die NFS-Exportoptionen in der CLI finden Sie unter Festlegen von NFS-Exportoptionen.
Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem A auf READ_ONLY.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Szenario C: Dateisystemsicherheit verbessern
Um die Sicherheit auf Compute Cloud@Customer zu erhöhen, können Sie die Berechtigungen des Root-Benutzers bei der Verbindung mit Dateisystem A einschränken. Mit Identity-Squash können Sie Root-Benutzer UID/GID 6534 neu zuordnen.
In UNIX-ähnlichen Systemen ist diese Kombination aus UID/GID für "nobody" reserviert, ein Benutzer ohne Systemberechtigungen.
Beispiel für die Compute Cloud@Customer-Konsole
Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem A auf schreibgeschützt:
Informationen zum Zugriff auf die NFS-Exportoptionen in der Compute Cloud@Customer-Konsole finden Sie unter NFS-Exportoptionen festlegen.
| Quelle | Ports | Zugriff | Squash | Squash-UID/GID |
|---|---|---|---|---|
| 0.0.0.0/0 | Jeder | Schreib-/Lesezugriff | Root | 65.534 |
CLI-Beispiel
Informationen zum Zugriff auf die NFS-Exportoptionen in der CLI finden Sie unter Festlegen von NFS-Exportoptionen.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'