Opciones de exportación para File Storage
On Private Cloud Appliance, NFS export options enable you to create more granular access control than is possible using security list rules to limit VCN access. Puede utilizar las opciones de exportación NFS para especificar los niveles a los que se conectan las direcciones IP o bloques CIDR a los sistemas a través de exportaciones en un destino a montaje. El acceso se puede limitar para que el sistema de archivos de cada cliente sea inaccesible e invisible, lo que proporciona mejores controles a la seguridad en entornos multiinquilinos.
Mediante los controles del acceso a la opción de exportación NFS, puede limitar la capacidad de la clientela de conectarse al Sistema de archivos y ver o escribir datos. Por ejemplo, si desea permitir a los clientes consumir pero no actualizar recursos en el sistema de archivos, puede definir el acceso en Sólo lectura. También puede reducir el acceso raíz del cliente a los sistemas de archivos y asignar los identificadores de usuario (UID) y los identificadores de grupos (GID) especificados a una única UID/GID anónimo de su elección.
Opciones de Exportación
Las exportaciones controlan el acceso de los clientes NFS a los sistemas de archivos al conectarse a un destino de montaje. Los sistemas de archivos se exportan (están disponibles) mediante destinos de montaje.
Las opciones a exportar NFS son un conjunto de parámetros dentro del programa de exportación que especifican el nivel de acceso otorgado a los clientes NFS cuando están conectados a un destino de montaje. Una entrada de opciones de exportación NFS en una exportación define el acceso para una única dirección IP o rango de bloques de CIDR. Puede tener hasta 100 opciones por sistema de archivos.
Cada dirección IP de cliente o bloque CIDR independiente que desee definir para el acceso necesita una entrada independiente de opciones del export en la exportación. Por ejemplo, si desea definir opciones para direcciones IP del cliente NFS 10.0.0.6, 10.0.0.08 y 10.0.0.10, debe crear tres entradas separadas, una para cada dirección IP.
Cuando hay más de una exportación que utiliza el mismo sistema de archivos y el mismo destino de montaje, las opciones de exportación que se aplican a una instancia son las opciones con un origen que coincide más estrechamente con la dirección IP de la instancia. La coincidencia más pequeña (más específica) tiene prioridad en todas las exportaciones. Por lo tanto, puede determinar qué opciones de exportación se aplican a una instancia consultando el valor de origen de todas las exportaciones.
Por ejemplo, considere las siguientes dos entradas de opciones de exportación especificando el acceso a una exportación:
Entrada 1: Origen: 10.0.0.8/32, acceso: Lectura/Escritura
Entrada 2: Origen: 10.0.0.0/16, Acceso: Solo lectura
En este caso, los clientes que se conectan a la exportación desde el dirección IP 10.0.0.8 tienen acceso de lectura/escritura. Cuando hay varias opciones de exportación, se aplica la coincidencia más específica.
Cuando se exporta más de un sistema de archivos al mismo destino de montaje, primero debe exportarlo al destino de montaje con la red más pequeña (número de CIDR más grande). Para obtener información e instrucciones detalladas, consulte My Oracle Support Doc ID 2823994.1.
Los sistemas del archivo se pueden asociar con una o más exportaciones, incluidas en uno o más destinos de montaje.
Si la dirección IP de origen del cliente no coincide con ninguna entrada de la lista para una sola exportación, esa exportación no es visible para el cliente. Sin embargo, es posible acceder al sistema de archivos mediante otras exportaciones en los mismos destinos de montaje o en otros. Para denegar completamente el acceso de cliente a un sistema de archivos, asegúrese de que la dirección IP de origen del cliente o el bloque de CIDR no estén incluidos en ninguna exportación para ningún destino de montaje asociado con el sistema de archivos.
Para obtener información sobre cómo configurar las opciones de exportación para varios escenarios de uso compartido de archivos, consulte NFS Access Control Scenarios.
Para obtener más información sobre la configuración de las opciones de exportación, consulte la sección titulada Setting NFS Export Options.
Valores predeterminados de opciones de exportación NFS
Al crear un sistema del archivo y la exportación, las opciones del sistema NFS para ese sistema del archivo se establecen en los siguientes valores predeterminados, lo que permite el acceso completo para todas las conexiones de origen de cliente NFS. Estos valores predeterminados se deben cambiar si desea restringir el acceso:
Nota: al utilizar la CLI de OCI para definir las opciones de exportación, si define las opciones con una matriz vacía (sin opciones especificadas), ningún cliente puede acceder a la exportación.
| Opción Export en la interfaz de usuario web de Compute | Opción de exportación en la CLI de OCI | Valor por defecto | Descripción |
|---|---|---|---|
| Origen: |
|
0.0.0.0/0 |
Dirección IP o bloque de CIDR de un cliente de NFS de conexión. |
| Puertos: |
|
Cualquiera |
Siempre se define en:
|
| Acceso: |
|
Lectura/escritura |
Especifica el acceso de cliente de NFS a origen. Se puede definir en uno de los valores siguientes:
|
| Squash: |
|
Ninguno |
Determina si los clientes que acceden al sistema de archivos como root tienen su ID de usuario (UID) y el ID de grupo (GID) reasignados al UID/GID squash. Estos son los valores posibles:
|
| UID/GID de squash: |
|
65.534 |
Este valor se utiliza junto con la opción Squash. Al volver a asignar un usuario root, puede utilizar este valor para cambiar el anonymousUid por defecto de anonymousUid y anonymousGid a cualquier ID de usuario de su elección. |
Escenarios de control de acceso NFS
En Private Cloud Appliance, conozca diferentes formas de controlar el acceso NFS revisando algunos escenarios.
- Escenario A: Control de acceso basado en host: proporciona un entorno gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada una tiene su propio sistema de archivos y no puede acceder a la información del otro.
- Escenario B: Limitar la capacidad de escribir datos: proporciona datos a los clientes para su consumo, pero no les permite actualizar los datos.
- Escenario C: Mejorar la seguridad del sistema de archivos: aumenta la seguridad limitando los privilegios del usuario root al conectarse a un sistema de archivos.
Escenario A: control de acceso basado en host
En Private Cloud Appliance, proporcione un entorno alojado gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada uno tiene su propio sistema de archivos y no puede acceder a los datos del otro.
Por ejemplo:
-
El cliente A está asignado al bloque de CIDR 10.0.0.0/24, requiere acceso de lectura/escritud al sistema de archivos A, pero no a los sistemas de archivos.
-
El cliente B está asignado al bloque de CIDR 10.1.1.0/24, necesita acceso de lectura/escritud al sistema del archivo B, pero no el sistema del archivo A.
-
El cliente C está asignado al bloque de CIDR 10.2.2.0/24, no tiene ningún tipo de acceso al Sistema de archivos A ni el Sistema de archivos B.
-
Los sistemas de archivos A y B están asociados con un único destino de montaje, MT1. Cada sistema de archivos tiene una exportación incluida en el conjunto de exportación de MT1.
Debido a que el cliente A y el cliente B acceden el destino de montaje desde diferentes bloques CIDR, puede definir la opción del cliente de ambas exportaciones de sistemas de archivos para permitir solo el acceso a un único bloque CIDR. El acceso al cliente C se deniega al no incluir su dirección IP o bloque CIDR en las opciones del sistema NFS para cualquier exportación de cualquiera de los sistemas de archivos.
Ejemplo de IU web de Compute
Defina las opciones para exportar del sistema de archivos A para permitir acceso de lectura/escritud solo al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. Los clientes B y C no se incluyen en este bloque de CIDR y no puede acceder al sistema de archivos.
Para obtener más información sobre cómo acceder a las opciones de exportación NFS en la interfaz de usuario web de Compute, consulte Setting NFS Export Options.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.0.0.0/24 | Cualquiera | Lectura/escritura | Ninguno | (no utilizado) |
Defina las opciones a exportar del sistema B para permitir la lectura/escritura solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. Los clientes A y C no se incluyen en este bloque de CIDR y no puede acceder al sistema de archivos.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.1.1.0/24 | Cualquiera | Lectura/escritura | Ninguno | (no utilizado) |
Ejemplo de CLI de OCI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI de OCI, consulte Configuración de opciones de exportación NFS.
Configure las opciones para exportar del sistema de archivos A para permitirle el acceso Read_Write solo al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. Los clientes B y C no se incluyen en este bloque de CIDR y no puede acceder al sistema de archivos.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Configure las opciones de exportación del sistema de archivos B para permitir Read_Write solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. Los clientes A y C no están incluidos en este bloque de CIDR y no puede acceder al sistema de archivos.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Escenario B: Limitación de la capacidad de escribir datos
En Private Cloud Appliance, proporcione datos a los clientes para que los usen, pero no les permita actualizarlos.
Por ejemplo, desea publicar un conjunto de recursos en el sistema de archivos A para que una aplicación pueda utilizarlo, pero no cambiarlo. La aplicación se conecta desde la dirección IP 10.0.0.8.
Ejemplo de IU web de Compute
Defina la dirección IP del origen 10.0.0.8 en Sólo lectura en la exportación del Sistema de archivos A
Para obtener más información sobre cómo acceder a las opciones de exportación NFS en la interfaz de usuario web de Compute, consulte Setting NFS Export Options.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.0.0.8 | Cualquiera | Sólo lectura | Ninguno | (no utilizado) |
Ejemplo de CLI de OCI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI de OCI, consulte Configuración de opciones de exportación NFS.
Defina la dirección IP del origen 10.0.0.8 en READ_ONLY en Sólo lectura en la exportación del Sistema de archivos A
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Escenario C: Mejora de la seguridad del sistema de archivos
En Private Cloud Appliance, para aumentar la seguridad, puede limitar los privilegios del usuario root al conectarse al sistema de archivos A. Use el squash de identidades para reasignar usuarios raíz a UID/GID 65534.
En sistemas similares a UNIX, esta combinación de UID/GID está reservada para "nadie", un usuario sin privilegios de sistema.
Ejemplo de IU web de Compute
Defina la dirección IP del origen 10.0.0.8 en Sólo lectura en la exportación del Sistema de Archivos A.
Para obtener más información sobre cómo acceder a las opciones de exportación NFS en la interfaz de usuario web de Compute, consulte Setting NFS Export Options.
| Origen | Puertos | Acceso | Squash | UID/GID de squash |
|---|---|---|---|---|
| 0.0.0.0/0 | Cualquiera | Lectura/escritura | Raíz | 65.534 |
Ejemplo de CLI de OCI
Para obtener información sobre cómo acceder a las opciones de exportación NFS en la CLI de OCI, consulte Configuración de opciones de exportación NFS.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'