Opciones de exportación para File Storage
En Compute Cloud@Customer, las opciones de exportación NFS le proporcionan un mayor control de acceso granular mediante el uso del código de seguridad independiente para limitar el acceso VCN. Puede utilizar las opciones de exportación NFS para especificar los niveles a los que se conectan las direcciones IP o bloques CIDR a los sistemas a través de la exportación en un destino a montaje. El acceso se puede limitar para que el sistema de archivos de cada cliente sea inaccesible e invisible, lo que proporciona mejores controles a la seguridad en entornos multiinquilinos.
Mediante los controles del acceso a la opción de exportación NFS, puede limitar la capacidad de la clientela de conectarse al Sistema de archivos y ver o escribir datos. Por ejemplo, si desea permitir a los clientes consumir pero no actualizar recursos en el sistema de archivos, puede definir el acceso en Sólo lectura. También puede reducir el acceso raíz del cliente a los sistemas de archivos y asignar los identificadores de usuario (UID) y los identificadores de grupos (GID) especificados a una única UID/GID anónimo de su elección.
Opciones de Exportación
Las exportaciones controlan el acceso de los clientes NFS a los sistemas de archivos al conectarse a un destino de montaje. Los sistemas de archivos se exportan (están disponibles) mediante destinos de montaje.
Las opciones que exportan NFS son un conjunto de parámetros dentro del export que especifican el nivel de acceso otorgado a los clientes NFS cuando Se conectan a un destino de montaje. Una entrada de opciones de exportación NFS en una exportación define el acceso para una única dirección IP o rango de bloques de CIDR. Puede tener hasta 100 opciones por sistema de archivos.
Cada dirección IP de cliente o bloque CIDR independiente que desee definir para el acceso necesita una entrada independiente de opciones del export en la exportación. Por ejemplo, si desea definir opciones para direcciones IP del cliente NFS 10.0.0.6, 10.0.0.08 y 10.0.0.10, debe crear tres entradas separadas, una para cada dirección IP.
Cuando hay más de una exportación que utiliza el mismo sistema de archivos y el mismo destino de montaje, las opciones de exportación que se aplican a una instancia son las opciones con un origen que coincide más estrechamente con la dirección IP de la instancia. La coincidencia más pequeña (más específica) tiene prioridad en todas las exportaciones. Por lo tanto, puede determinar qué opciones de exportación se aplican a una instancia consultando el valor de origen de todas las exportaciones.
Por ejemplo, considere las siguientes dos entradas de opciones de exportación especificando el acceso a una exportación:
Entrada 1: Origen: 10.0.0.8/32, acceso: Lectura/Escritura
Entrada 2: Origen: 10.0.0.0/16, Acceso: Solo lectura
En este caso, los clientes que se conectan a la exportación desde el dirección IP 10.0.0.8 tienen acceso de lectura/escritura. Cuando hay varias opciones de exportación, se aplica la coincidencia más específica.
Cuando se exporta más de un sistema de archivos al mismo destino de montaje, primero debe exportarlo al destino de montaje con la red más pequeña (número de CIDR más grande). Para obtener información e instrucciones detalladas, consulte My Oracle Support Doc ID 2823994.1.
Los sistemas del archivo se pueden asociar con una o más exportaciones, incluidas en uno o más destinos de montaje.
Si la dirección IP de origen del cliente no coincide con ninguna entrada de la lista para una sola exportación, esa exportación no es visible para el cliente. Sin embargo, es posible acceder al sistema de archivos mediante otras exportaciones en los mismos destinos de montaje o en otros. Para denegar completamente el acceso de cliente a un sistema de archivos, asegúrese de que la dirección IP de origen del cliente o el bloque de CIDR no estén incluidos en ninguna exportación para ningún destino de montaje asociado con el sistema de archivos.
Para obtener información sobre cómo configurar las opciones de exportación para varios escenarios de uso compartido de archivos, consulte NFS Access Control Scenarios.
Para obtener más información sobre la configuración de las opciones de exportación, consulte la sección titulada Setting NFS Export Options.
Valores predeterminados de opciones de exportación NFS
Al crear un sistema del archivo y la exportación, las opciones del sistema NFS para ese sistema del archivo se establecen en los siguientes valores predeterminados, lo que permite el acceso completo para todas las conexiones de origen de cliente NFS. Estos valores predeterminados se deben cambiar si desea restringir el acceso:
Nota: al usar la CLI para configurar las opciones de exportación, si configura las opciones con una matriz vacía (no se especificaron opciones), ningún cliente puede acceder a la exportación.
| Opción de exportación en la consola | Opción de exportación en la CLI | Valor por defecto | Descripción |
|---|---|---|---|
| Origen: |
|
0.0.0.0/0 |
Dirección IP o bloque de CIDR de un cliente de NFS de conexión. |
| Puertos: |
|
Cualquiera |
Siempre se define en:
|
| Acceso: |
|
Lectura/escritura |
Especifica el acceso de cliente de NFS a origen. Se puede definir en uno de los valores siguientes:
|
| Squash: |
|
Ninguno |
Determina si los clientes que acceden al sistema de archivos como root tienen su ID de usuario (UID) y el ID de grupo (GID) reasignados al UID/GID squash. Estos son los valores posibles:
|
| UID/GID de squash: |
|
65.534 |
Este valor se utiliza junto con la opción Squash. Al volver a asignar un usuario root, puede utilizar este valor para cambiar el anonymousUid por defecto de anonymousUid y anonymousGid a cualquier ID de usuario de su elección. |
Escenarios de control de acceso NFS
En Compute Cloud@Customer, descubre diferentes formas de controlar el acceso NFS revisando algunos escenarios.
- Escenario A: Control de acceso basado en host: proporciona un entorno gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada una tiene su propio sistema de archivos y no puede acceder a la información del otro.
- Escenario B: Limitar la capacidad de escribir datos: proporciona datos a los clientes para su consumo, pero no les permite actualizar los datos.
- Escenario C: Mejorar la seguridad del sistema de archivos: aumenta la seguridad limitando los privilegios del usuario root al conectarse a un sistema de archivos.
Escenario A: control de acceso basado en host
En Compute Cloud@Customer, proporcione un entorno alojado gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada uno tiene su propio sistema de archivos y no puede acceder a los datos del otro.
Por ejemplo:
-
El cliente A está asignado al bloque de CIDR 10.0.0.0/24, necesita acceso de lectura/escritud al sistema de archivos A, pero no a los sistemas de archivos.
-
El cliente B está asignado al bloque de CIDR 10.1.1.0/24, necesita acceso de lectura/escritud al sistema del archivo B, pero no el sistema del archivo A.
-
El cliente C está asignado al bloque de CIDR 10.2.2.0/24, no tiene ningún tipo de acceso al Sistema de archivos A ni el Sistema de archivos B.
-
Los sistemas de archivos A y B están asociados con un único destino de montaje, MT1. Cada sistema de archivos tiene una exportación incluida en el conjunto de exportación de MT1.
Debido a que el cliente A y el cliente B acceden el destino de montaje desde diferentes bloques CIDR, puede definir la opción del cliente de ambas exportaciones de sistemas de archivos para permitir solo el acceso a un único bloque CIDR. El acceso al cliente C se deniega al no incluir su dirección IP o bloque CIDR en las opciones del sistema NFS para cualquier exportación de cualquiera de los sistemas de archivos.
Ejemplo de la consola
Defina las opciones para exportar del sistema de archivos A para permitir acceso de lectura/escritud solo al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. Los clientes B y C no se incluyen en este bloque de CIDR y no puede acceder al sistema de archivos.
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la consola, consulte Setting NFS Export Options.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.0.0.0/24 | Cualquiera | Lectura/escritura | Ninguno | (no utilizado) |
Defina las opciones a exportar del sistema B para permitir la lectura/escritura solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. Los clientes A y C no se incluyen en este bloque de CIDR y no puede acceder al sistema de archivos.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.1.1.0/24 | Cualquiera | Lectura/escritura | Ninguno | (no utilizado) |
Ejemplo de CLI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI, consulte Setting NFS Export Options.
Configure las opciones para exportar del sistema de archivos A para permitirle el acceso Read_Write solo al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. Los clientes B y C no se incluyen en este bloque de CIDR y no puede acceder al sistema de archivos.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Configure las opciones de exportación del sistema de archivos B para permitir Read_Write solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. Los clientes A y C no están incluidos en este bloque de CIDR y no puede acceder al sistema de archivos.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Escenario B: Limitación de la capacidad de escribir datos
En Compute Cloud@Customer, proporcione datos a los clientes para que los usen, pero no les permita actualizarlos.
Por ejemplo, desea publicar un conjunto de recursos en el sistema de archivos A para que una aplicación pueda utilizarlo, pero no cambiarlo. La aplicación se conecta desde la dirección IP 10.0.0.8.
Ejemplo de la consola
Defina la dirección IP del origen 10.0.0.8 en Sólo lectura en la exportación del Sistema de Archivos A.
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la consola, consulte Setting NFS Export Options.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.0.0.8 | Cualquiera | Sólo lectura | Ninguno | (no utilizado) |
Ejemplo de CLI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI, consulte Setting NFS Export Options.
Defina la dirección IP del origen 10.0.0.8 en READ_ONLY en Sólo lectura en la exportación del Sistema de archivos A
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Escenario C: Mejora de la seguridad del sistema de archivos
En Compute Cloud@Customer, para aumentar la seguridad, puede limitar los privilegios del usuario root al conectarse al sistema de archivos A. Use el squash de identidades para reasignar usuarios raíz a UID/GID 65534.
En sistemas similares a UNIX, esta combinación de UID/GID está reservada para "nadie", un usuario sin privilegios de sistema.
Ejemplo de la consola
Defina la dirección IP del origen 10.0.0.8 en Sólo lectura en la exportación del Sistema de archivos A
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la consola, consulte Setting NFS Export Options.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 0.0.0.0/0 | Cualquiera | Lectura/escritura | Raíz | 65.534 |
Ejemplo de CLI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI, consulte Setting NFS Export Options.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'