Opciones de exportación para File Storage
En Compute Cloud@Customer, las opciones de exportación NFS le permiten crear un mayor control de acceso granular mediante el uso de reglas de la lista de seguridad para limitar el acceso VCN. Puede utilizar las opciones de exportación NFS para especificar los niveles de acceso para las direcciones IP o los bloques CIDR que se conectan a sistemas de archivos mediante exportaciones en un destino de montaje. El acceso se puede restringir para que el sistema de archivos de cada cliente sea inaccesible e invisible, lo que proporciona mejores controles de seguridad en entornos multi-inquilino.
Mediante los controles de acceso a las opciones de exportación NFS, puede limitar la capacidad de los clientes de conectarse al sistema de archivos y ver o escribir datos. Por ejemplo, si desea permitir a los clientes utilizar pero no actualizar recursos en el sistema de archivos, puede definir el acceso en solo lectura. También puede reducir el acceso raíz del cliente a los sistemas de archivos y asignar los ID de usuario (UID) y los ID de grupo (GID) especificados a un único UID/GID anónimos de su elección.
Opciones de Exportación
Las exportaciones controlan el acceso de los clientes NFS a los sistemas de archivos al conectarse a un destino de montaje. Los sistemas de archivos se exportan (están disponibles) mediante destinos de montaje.
Las opciones de exportación NFS son un conjunto de parámetros dentro de la exportación que especifican el nivel de acceso otorgado a los clientes NFS cuando se conectan a un destino de montaje. Una entrada de opciones de exportación NFS en una exportación define el acceso para una única dirección IP o rango de bloques CIDR. Puede tener hasta 100 opciones por sistema de archivos.
Cada dirección IP de cliente o bloque de CIDR independiente que desee definir para el acceso necesita una entrada de opciones de exportación independiente en la exportación. Por ejemplo, si desea definir opciones para direcciones IP del cliente NFS 10.0.0.6, 10.0.0.08 y 10.0.0.10, debe crear tres entradas separadas, una para cada dirección IP.
Cuando hay más de una exportación que utiliza el mismo sistema de archivos y el mismo destino de montaje, las opciones de exportación que se aplican a una instancia son las opciones con un origen que coincide más estrechamente con la dirección IP de la instancia. La coincidencia más pequeña (más específica) tiene prioridad en todas las exportaciones. Por lo tanto, puede determinar qué opciones de exportación se aplican a una instancia consultando el valor de origen de todas las exportaciones.
Por ejemplo, considere las siguientes dos entradas de opciones de exportación especificando el acceso a una exportación:
Entrada 1: origen: 10.0.0.8/32, acceso: Read/Write
Entrada 2: origen: 10.0.0.0/16, acceso: Solo lectura
En este caso, los clientes que se conectan a la exportación desde la dirección IP 10.0.0.8 tienen acceso de lectura/escritura. Cuando hay varias opciones de exportación, se aplica la coincidencia más específica.
Cuando se exporta más de un sistema de archivos al mismo destino de montaje, primero debe exportarlo al destino de montaje con la red más pequeña (el número CIDR más grande). Para obtener información e instrucciones detalladas, consulte Doc ID 2823994.1 de My Oracle Support.
Los sistemas de archivos se pueden asociar con una o más exportaciones, incluidas en uno o más destinos de montaje.
Si la dirección IP de origen del cliente no coincide con ninguna entrada de la lista para una sola exportación, esa exportación no será visible para el cliente. Sin embargo, es posible acceder al sistema de archivos mediante otras exportaciones en los mismos destinos de montaje o en otros. Para denegar completamente el acceso de cliente a un sistema de archivos, asegúrese de que la dirección IP de origen del cliente o el bloque de CIDR no estén incluidos en ninguna exportación para ningún destino de montaje asociado con el sistema de archivos.
Para obtener información sobre cómo configurar opciones de exportación para varios escenarios de uso compartido de archivos, consulte NFS Access Control Scenarios.
Para obtener más información sobre la configuración de opciones de exportación, consulte la sección titulada Setting NFS Export Options.
Valores predeterminados de la opción de exportación NFS
Al crear un sistema de archivos y la exportación, las opciones de exportación NFS para ese sistema de archivos se establecen en los siguientes valores predeterminados, lo que permite el acceso completo para todas las conexiones de origen de cliente NFS. Si desea restringir el acceso, se deben cambiar estos valores predeterminados:
Nota: al usar la CLI para definir las opciones de exportación, si configura las opciones con una matriz vacía (sin opciones especificadas), los clientes no podrán acceder a la exportación.
| Opción de exportación en la consola de Compute Cloud@Customer | Opción de exportación en la CLI | Valor por defecto | Descripción |
|---|---|---|---|
| Origen: |
|
0.0.0.0/0 |
Dirección IP o bloque de CIDR de un cliente de NFS de conexión |
| Puertos: |
|
Todos |
Se define siempre en:
|
| Acceda a: |
|
Read/Write |
Especifica el acceso de cliente de NFS a origen. Se puede definir en uno de estos valores:
|
| Squash: |
|
Ninguna. |
Determina si los clientes que acceden al sistema de archivos como raíz tienen su ID de usuario (UID) e ID de grupo (GID) reasignados al UID/GID de squash. Estos son los valores posibles:
|
| Comprimir UID/GID: |
|
65.534 |
Este ajuste se utiliza junto con la opción Squash. Al volver a asignar un usuario raíz, puede utilizar este valor para cambiar los valores por defecto anonymousUid y anonymousGid a cualquier ID de usuario que elija. |
Escenarios de control de acceso NFS
En Compute Cloud@Customer, aprenda diferentes formas de controlar el acceso a NFS revisando algunos escenarios.
- Escenario A: Controlar el acceso basado en host: proporciona un entorno gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada uno tiene su propio sistema de archivos y no pueden acceder a los datos de los demás.
- Escenario B: Limitar la capacidad de escribir datos: proporciona datos a los clientes para su consumo, pero no les permite actualizar los datos.
- Escenario C: Mejorar la seguridad del sistema de archivos: aumenta la seguridad limitando los privilegios del usuario root al conectarse a un sistema de archivos.
Escenario A: control de acceso basado en host
En Compute Cloud@Customer, proporcione un entorno alojado gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada uno tiene su propio sistema de archivos y no pueden acceder a los datos del otro.
Por ejemplo:
-
El cliente A está asignado al bloque de CIDR 10.0.0.0/24 y requiere acceso de lectura/escritura al sistema de archivos A, pero no al sistema de archivos B.
-
El cliente B está asignado al bloque de CIDR 10.1.1.0/24 y requiere acceso de lectura/escritura al sistema de archivos B, pero no al sistema de archivos A.
-
El cliente C está asignado al bloque de CIDR 10.2.2.0/24 y no tiene ningún tipo de acceso al sistema de archivos A ni al sistema de archivos B.
-
Los sistemas de archivos A y B están asociados a un único destino de montaje, MT1. Cada sistema de archivos tiene una exportación incluida en el conjunto de exportación de MT1.
Debido a que el cliente A y el cliente B acceden al destino de montaje desde diferentes bloques de CIDR, puede definir las opciones del cliente de ambas exportaciones del sistema de archivos para permitir el acceso solo a un único bloque de CIDR. Se niega el acceso al cliente C al no incluir su dirección IP o su bloque de CIDR en las opciones de exportación NFS para cualquier exportación de cualquier sistema de archivos.
Ejemplo de consola de Compute Cloud@Customer
Defina las opciones de exportación del sistema de archivos A para permitir el acceso de lectura y escritura solo al cliente A asignado al bloque de CIDR 10.0.0.0/24. El cliente B y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.
Para obtener más información sobre cómo acceder a las opciones de exportación NFS en la consola de Compute Cloud@Customer, consulte Configuración de opciones de exportación NFS.
| Origen | Puertos | Acceder | Squash | Comprimir UID/GID |
|---|---|---|---|---|
| 10.0.0.0/24 | Todos | Read/Write | Ninguna. | (no utilizado) |
Defina las opciones de exportación del sistema de archivos B para permitir el acceso de lectura y escritura solo al cliente B, asignado al bloque de CIDR 10.1.1.0/24. El cliente A y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.
| Origen | Puertos | Acceder | Squash | Comprimir UID/GID |
|---|---|---|---|---|
| 10.1.1.0/24 | Todos | Read/Write | Ninguna. | (no utilizado) |
Ejemplo de CLI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI, consulte Setting NFS Export Options.
Configure las opciones de exportación del sistema de archivos A para permitir el acceso Read_Write al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. El cliente B y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Configure las opciones de exportación del sistema de archivos B para permitir el acceso Read_Write solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. El cliente A y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Escenario B: Limitación de la capacidad de escribir datos
En Compute Cloud@Customer, proporcione datos a los clientes para que los utilicen, pero no les permita actualizarlos.
Por ejemplo, desea publicar un conjunto de recursos en el sistema de archivos A para que una aplicación pueda utilizarlo, pero no cambiarlo. La aplicación se conecta desde la dirección IP 10.0.0.8.
Ejemplo de consola de Compute Cloud@Customer
Defina la dirección IP de origen 10.0.0.8 en solo lectura en la exportación del sistema de archivos A.
Para obtener más información sobre cómo acceder a las opciones de exportación NFS en la consola de Compute Cloud@Customer, consulte Configuración de opciones de exportación NFS.
| Origen | Puertos | Acceder | Squash | Comprimir UID/GID |
|---|---|---|---|---|
| 10.0.0.8 | Todos | Sólo Lectura | Ninguna. | (no utilizado) |
Ejemplo de CLI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI, consulte Setting NFS Export Options.
Configure la dirección IP de origen 10.0.0.8 en READ_ONLY en la exportación del sistema de archivos A.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Escenario C: Mejora de la seguridad del sistema de archivos
En Compute Cloud@Customer, para aumentar la seguridad, puede limitar los privilegios del usuario root al conectarse al sistema de archivos A. Use el squash de identidad para reasignar usuarios raíz a UID/GID 6534.
En los sistemas similares a UNIX, esta combinación de UID/GID está reservada para "nobody", un usuario sin privilegios del sistema.
Ejemplo de consola de Compute Cloud@Customer
Defina la dirección IP de origen 10.0.0.8 en solo lectura en la exportación del sistema de archivos A.
Para obtener más información sobre cómo acceder a las opciones de exportación NFS en la consola de Compute Cloud@Customer, consulte Configuración de opciones de exportación NFS.
| Código fuente | Puertos | Acceder | Squash | Comprimir UID/GID |
|---|---|---|---|---|
| 0.0.0.0/0 | Todos | Read/Write | Raíz | 65.534 |
Ejemplo de CLI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI, consulte Setting NFS Export Options.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'