Options d'exportation pour le stockage de fichiers
Sur Compute Cloud@Customer, les options d'exportation NFS vous permettent de créer un contrôle d'accès plus granulaire que ce qui est possible en utilisant des règles de liste de sécurité pour limiter l'accès au VCN. Vous pouvez utiliser les options d'exportation NFS pour spécifier les niveaux d'accès des adresses IP ou des blocs CIDR se connectant à des systèmes de fichiers au moyen d'exportations dans une cible de montage. L'accès peut être restreint de manière à ce que le système de fichiers de chaque client soit inaccessible et invisible aux autres, ce qui assure des contrôles de sécurité plus efficaces dans des environnements multilocations.
À l'aide des contrôles d'accès des options d'exportation NFS, vous pouvez limiter la capacité des clients à se connecter au système de fichiers et à voir ou écrire des données. Par exemple, pour permettre aux clients de consommer, mais pas de mettre à jour les ressources de votre système de fichiers, vous pouvez régler l'accès à Lecture seule. Vous pouvez également réduire l'accès racine du client à vos systèmes de fichiers et mapper les ID utilisateurs (UID) et les ID groupes (GID) spécifiés à un seul UID/GID anonyme de votre choix.
Options d'exportation
Les exportations contrôlent la façon dont les clients NFS accèdent aux systèmes de fichiers lorsqu'ils se connectent à une cible de montage. Les systèmes de fichiers sont exportés ( rendus disponibles) au moyen des cibles de montage.
Les options d'exportation NFS sont un jeu de paramètres dans l'exportation qui indique le niveau d'accès accordé aux clients NFS lorsqu'ils se connectent à une cible de montage. Une entrée d'options d'exportation NFS dans une exportation définit l'accès pour une adresse IP ou un intervalle de blocs CIDR. Vous pouvez avoir jusqu'à 100 options par système de fichiers.
Chaque adresse IP ou bloc CIDR de client distinct pour lequel vous voulez définir l'accès nécessite une entrée d'options d'exportation distincte dans l'exportation. Par exemple, si vous voulez définir des options pour les adresses IP de client NFS 10.0.0.6, 10.0.0.08 et 10.0.0.10, vous devez créer trois entrées distinctes, une pour chaque adresse IP.
Lorsque plusieurs exportations utilisent le même système de fichiers et la même cible de montage, les options d'exportation qui sont appliquées à une instance sont celles dont la source correspond le plus à l'adresse IP de l'instance. La correspondance la plus petite (la plus spécifique) est prioritaire pour toutes les exportations. Par conséquent, vous pouvez déterminer quelles options d'exportation sont appliquées à une instance en examinant la valeur source de toutes les exportations.
Par exemple, examinez les deux entrées d'options d'exportation suivantes qui précisent l'accès pour une exportation :
Entrée 1 : source : 10.0.0.8/32, accès : lecture/écriture
Entrée 2 : Source : 10.0.0.0/16, Accès : Lecture seule
Dans ce cas, les clients qui se connectent à l'exportation à partir de l'adresse IP 10.0.0.8 disposent d'un accès en lecture/écriture. Lorsqu'il existe plusieurs options d'exportation, la correspondance la plus spécifique est appliquée.
Lorsque plusieurs systèmes de fichiers sont exportés vers la même cible de montage, vous devez d'abord les exporter vers la cible de montage ayant le plus petit réseau (le plus grand numéro CIDR). Pour obtenir des informations et des instructions détaillées, consultez l'ID document 2823994.1 sur My Oracle Support.
Des systèmes de fichiers peuvent être associés à une ou plusieurs exportations, contenues dans une ou plusieurs cibles de montage.
Si l'adresse IP source du client ne correspond à aucune entrée de la liste pour une exportation, cette exportation n'est alors pas visible pour le client. Cependant, il est possible d'accéder au système de fichiers au moyen d'autres exportations sur la même cible de montage ou d'autres. Pour refuser complètement l'accès d'un client à un système de fichiers, assurez-vous que l'adresse IP source ou le bloc CIDR du client ne sont inclus dans aucune exportation pour aucune cible de montage associée au système de fichiers.
Pour plus d'informations sur la configuration des options d'exportation pour divers scénarios de partage de fichiers, voir Scénarios de contrôle d'accès NFS.
Pour plus d'informations sur la configuration des options d'exportation, consultez l'article intitulé Définition des options d'exportation NFS.
Valeurs par défaut de l'option d'exportation NFS
Lorsque vous créez un système de fichiers et une exportation, les options d'exportation NFS pour ce système de fichiers sont réglées aux valeurs par défaut suivantes, qui permettent un accès complet à toutes les connexions sources de client NFS. Ces valeurs par défaut doivent être modifiées si vous voulez restreindre l'accès :
Note - Lorsque vous utilisez l'interface de ligne de commande pour définir les options d'exportation, si vous définissez les options avec un tableau vide (aucune option spécifiée), l'exportation n'est accessible à aucun client.
| Option d'exportation dans la console Compute Cloud@Customer | Option d'exportation dans l'interface de ligne de commande | Valeur par défaut | Description |
|---|---|---|---|
| Source : |
|
0.0.0.0/0 |
Adresse IP ou bloc CIDR du client NFS qui connecte. |
| Ports : |
|
N'importe quelle |
Toujours réglé à :
|
| Accéder : |
|
Lire/Écrire |
Indique l'accès des clients pour le client NFS source. Vous pouvez définir l'une des valeurs suivantes :
|
| Squash : |
|
Aucune |
Détermine si l'ID utilisateur (UID) et l'ID groupe (GID) des clients qui accèdent au système de fichiers en tant que racine sont remappés à l'UID/GID de la corbeille. Les valeurs suivantes sont possibles :
|
| UID/GID Squash : |
|
65,534 |
Ce paramètre est utilisé avec l'option Squash. Lorsque vous remappez un utilisateur racine, vous pouvez utiliser ce paramètre pour remplacer la valeur par défaut anonymousUid et anonymousGid par l'ID utilisateur de votre choix. |
Scénarios de contrôle de l'accès NFS
Sur Compute Cloud@Customer, découvrez différentes façons de contrôler l'accès NFS en examinant certains scénarios.
- Scénario A : Contrôler l'accès basé sur l'hôte : Fournit un environnement géré pour deux clients. Les clients partagent une cible de montage, mais chacun possède son propre système de fichiers et ne peut pas accéder aux données des autres clients.
- Scénario B : Limiter la capacité d'écriture de données : Fournit des données aux clients pour consommation, mais ne leur permet pas de mettre à jour les données.
- Scénario C : Améliorer la sécurité du système de fichiers : Augmente la sécurité en limitant les privilèges de l'utilisateur racine lors de la connexion à un système de fichiers.
Scénario A : Accès basé à l'hôte de contrôle
Sur Compute Cloud@Customer, fournissez un environnement hébergé géré pour deux clients. Les clients partagent une cible de montage, mais chacun possède son propre système de fichiers et ne peut pas accéder aux données de l'autre client.
Exemple :
-
Le client A est affecté au bloc CIDR 10.0.0.0/24 et nécessite un accès en lecture/écriture au système de fichiers A, mais pas au système de fichiers B.
-
Le client B est affecté au bloc CIDR 10.1.1.0/24 et nécessite un accès en lecture/écriture au système de fichiers B, mais pas au système de fichiers A.
-
Le client C est affecté au bloc CIDR 10.2.2.0/24 et n'a aucun accès au système de fichiers A ou au système de fichiers B.
-
Les systèmes de fichiers A et B sont tous deux associés à une seule cible de montage, MT1. Le jeu d'exportations de MT1 comporte une exportation pour chaque système de fichiers.
Comme le client A et le client B accèdent à la cible de montage à partir de blocs CIDR différents, vous pouvez définir les options client pour les deux exportations de système de fichiers pour accorder l'accès à un seul bloc CIDR. Le client C n'a pas d'accès en n'incluant pas son adresse IP ou bloc CIDR dans les options d'exportation NFS de toute exportation des deux systèmes de fichiers.
Exemple de console Compute Cloud@Customer
Définir les options d'exportation pour le système de fichiers A de manière à accorder l'accès en lecture/écriture uniquement au client A, qui est affecté au bloc CIDR 10.0.0.0/24. Le client B et le client C ne sont pas inclus dans ce bloc CIDR et ne peuvent pas accéder au système de fichiers.
Pour savoir comment accéder aux options d'exportation NFS dans la console Compute Cloud@Customer, voir Définition des options d'exportation NFS.
| Source | Ports | Accéder à | Squash | UID/GID Squash |
|---|---|---|---|---|
| 10.0.0.0/24 | N'importe quelle | Lire/Écrire | Aucune | (non utilisés) |
Définir les options d'exportation pour le système de fichiers B de manière à accorder l'accès en lecture/écriture uniquement au client B, qui est affecté au bloc CIDR 10.1.1.0/24. Le client A et le client C ne sont pas inclus dans ce bloc CIDR et ne peuvent pas accéder au système de fichiers.
| Source | Ports | Accéder à | Squash | UID/GID Squash |
|---|---|---|---|---|
| 10.1.1.0/24 | N'importe quelle | Lire/Écrire | Aucune | (non utilisés) |
Exemple d'interface de ligne de commande
Pour savoir comment accéder aux options d'exportation NFS dans l'interface de ligne de commande, voir Définition des options d'exportation NFS.
Définir les options d'exportation pour le système de fichiers A pour autoriser l'accès Read_Write uniquement au client A, qui est affecté au bloc CIDR 10.0.0.0/24. Le client B et le client C ne sont pas inclus dans ce bloc CIDR et ne peuvent pas accéder au système de fichiers.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Définir les options d'exportation pour le système de fichiers B pour autoriser l'accès Read_Write uniquement au client B, qui est affecté au bloc CIDR 10.1.1.0/24. Le client A et le client C n'étant pas inclus dans ce bloc CIDR, ils ne peuvent pas accéder au système de fichiers.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Scène B : Limiter la capacité à écrire des données
Sur Compute Cloud@Customer, fournir aux clients des données pour consommation, mais ne pas leur permettre de mettre à jour les données.
Par exemple, vous voulez publier un jeu de ressources dans le système de fichiers A pour consommation par une application, mais vous ne voulez pas qu'elle les modifie. L'application est connectée à partir de l'adresse IP 10.0.0.8.
Exemple de console Compute Cloud@Customer
Définir pour l'adresse IP source 10.0.0.8 un accès en lecture seule dans l'exportation du système de fichiers A.
Pour savoir comment accéder aux options d'exportation NFS dans la console Compute Cloud@Customer, voir Définition des options d'exportation NFS.
| Source | Ports | Accéder à | Squash | UID/GID Squash |
|---|---|---|---|---|
| 10.0.0.8 | N'importe quelle | Lecture seule | Aucune | (non utilisés) |
Exemple d'interface de ligne de commande
Pour savoir comment accéder aux options d'exportation NFS dans l'interface de ligne de commande, voir Définition des options d'exportation NFS.
Réglez l'adresse IP source 10.0.0.8 à READ_ONLY dans l'exportation pour le système de fichiers A.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Scène C : Améliorer la sécurité du système de fichiers
Sur Compute Cloud@Customer, pour accroître la sécurité, vous pouvez limiter les privilèges de l'utilisateur racine lors de la connexion au système de fichiers A. Utilisez Identity Squash pour remapper les utilisateurs racines à l'UID/GID 65534.
Dans les systèmes de type UNIX, cette combinaison UID/GID est réservée à 'nobody', un utilisateur sans privilèges d'accès au système.
Exemple de console Compute Cloud@Customer
Définir pour l'adresse IP source 10.0.0.8 un accès en lecture seule dans l'exportation du système de fichiers A.
Pour savoir comment accéder aux options d'exportation NFS dans la console Compute Cloud@Customer, voir Définition des options d'exportation NFS.
| Source | Ports | Accéder à | Squash | UID/GID Squash |
|---|---|---|---|---|
| 0.0.0.0/0 | N'importe quelle | Lire/Écrire | Racine | 65,534 |
Exemple d'interface de ligne de commande
Pour savoir comment accéder aux options d'exportation NFS dans l'interface de ligne de commande, voir Définition des options d'exportation NFS.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'