Opzioni di esportazione per lo storage di file
In Compute Cloud@Customer, le opzioni d'esportazione NFS ti consentono di creare un controllo dell'accesso più granulare di quanto sia possibile utilizzando le regole delle liste di sicurezza per limitare l'accesso alla VCN. Puoi usare le opzioni di esportazione NFS per specificare i livelli per gli indirizzi IP o i blocchi CIDR che si connettono a file system attraverso le esportazioni in una destinazione da MOUNT. È possibile limitare l'accesso in modo che il file system di ciascun client sia inaccessibile e invisibile all'altro, fornendo controlli di sicurezza migliori in ambienti multi-tenant.
Utilizzando i controlli dell'accesso delle opzioni di esportazione NFS, è possibile limitare la capacità dei client di connettersi al file system e visualizzare o scrivere i dati. Ad esempio, se si desidera consentire ai client di utilizzare ma non aggiornare le risorse nel file system, è possibile impostare l'accesso in sola lettura. È inoltre possibile ridurre l'accesso root dei client ai file system e mappare gli ID utente (UID) e gli ID gruppo (GID) specificati a un singolo UID/GID anonimo a scelta.
Opzioni di esportazione
Le esportazioni controllano il modo in cui i client NFS accedono ai file system quando si connettono a una destinazione di accesso. I file system vengono esportati ( resi disponibili) tramite le destinazioni di accesso.
Le opzioni di esportazione NFS sono un set di parametri all'interno dell'esportazione che specificano il livello di accesso concesso ai client NFS quando si connettono a una destinazione di accesso. Una voce delle opzioni di esportazione NFS all'interno di un'esportazione definisce l'accesso per un singolo indirizzo IP o intervallo di blocchi CIDR. Sono disponibili fino a 100 opzioni per file system.
Ogni indirizzo IP client o blocco CIDR separato che si desidera definire per l'accesso richiede una voce di opzioni di esportazione separata nell'esportazione. Ad esempio, se si desidera impostare le opzioni per gli indirizzi IP dei client NFS 10.0.0.6, 10.0.0.08 e 10.0.0.10, è necessario creare tre voci separate, una per ciascun indirizzo IP.
Quando sono presenti più esportazioni che utilizzano lo stesso file system e la stessa destinazione di accesso, le opzioni di esportazione applicate a un'istanza sono le opzioni con un'origine che corrisponde maggiormente all'indirizzo IP dell'istanza. La corrispondenza più piccola (più specifica) ha la precedenza su tutte le esportazioni. Pertanto, è possibile determinare quali opzioni di esportazione vengono applicate a un'istanza esaminando il valore di origine di tutte le esportazioni.
Ad esempio, considerare le due opzioni di esportazione riportate di seguito che specificano l'accesso per un'esportazione.
Voce 1: Fonte: 10.0.0.8/32, Accesso: Lettura/Scrittura
Voce 2: Fonte: 10.0.0.0/16, Accesso: sola lettura
In questo caso, i client che si connettono all'esportazione dall'indirizzo IP 10.0.0.8 dispongono dell'accesso in lettura/scrittura. Quando sono disponibili più opzioni di esportazione, viene applicata la corrispondenza più specifica.
Quando vengono esportati più file system nella stessa destinazione di accesso, è necessario eseguire prima l'esportazione nella destinazione di accesso con la rete più piccola (numero CIDR più grande). Per informazioni e istruzioni dettagliate, consultare il documento di My Oracle Support con ID 2823994.1.
I file system possono essere associati a una o più esportazioni, contenute in una o più destinazioni di accesso.
Se l'indirizzo IP di origine client non corrisponde a nessuna voce nell'elenco per una singola esportazione, tale esportazione non sarà visibile al client. Tuttavia, è possibile accedere al file system mediante altre esportazioni sulla stessa o su altre destinazioni di accesso. Per negare completamente l'accesso client a un file system, assicurarsi che l'indirizzo IP di origine client o il blocco CIDR non siano inclusi in alcuna esportazione per qualsiasi destinazione di accesso associata al file system.
Per informazioni su come configurare le opzioni di esportazione per vari scenari di condivisione file, vedere Scenari di controllo dell'accesso NFS.
Per ulteriori informazioni sulla configurazione delle opzioni di esportazione, vedere la sezione Impostazione delle opzioni di esportazione NFS.
Impostazioni predefinite opzione esportazione NFS
Quando si crea un file system ed esegue l'esportazione, le opzioni di esportazione NFS per tale file system vengono impostate come predefinite riportate di seguito, che consentono l'accesso completo per tutte le connessioni di origine client NFS. Queste impostazioni predefinite devono essere modificate se si desidera limitare l'accesso:
Nota: quando si utilizza l'interfaccia CLI per impostare le opzioni di esportazione, se si impostano le opzioni con un array vuoto (nessuna opzione specificata), l'esportazione non è accessibile da alcun client.
| Opzione di esportazione nella console | Opzione di esportazione nell'interfaccia CLI | Valore predefinito | Descrizione |
|---|---|---|---|
| Origine: |
|
0.0.0.0/0 |
Indirizzo IP o blocco CIDR di un client NFS in fase di connessione. |
| Porte: |
|
Qualsiasi |
Imposta sempre su:
|
| Accesso: |
|
Lettura/scrittura |
Specifica l'accesso al client NFS di origine. Può essere impostato su uno dei seguenti valori:
|
| Squash: |
|
Nessuno |
Consente di determinare se per i client che accedono al file system come root viene eseguito il remapping dei relativi ID utente (UID) e ID gruppo (GID) in UID/GID Squash. Questi sono i valori possibili:
|
| UID/GID squash: |
|
65.534 |
Questa impostazione viene utilizzata insieme all'opzione Squash. Quando si esegue di nuovo il mapping di un utente root, è possibile utilizzare questa impostazione per modificare l'ID utente predefinito anonymousUid e anonymousGid in qualsiasi ID utente. |
Scenari di controllo dell'accesso NFS
In Compute Cloud@Customer, Apprendere diversi modi per controllare l'accesso NFS esaminando alcuni scenari.
- Scenario A: Controllo dell'accesso basato sull'host: fornisce un ambiente gestito per due client. I client condividono una destinazione di accesso, ma ciascuno dispone del proprio file system e non può accedere ai dati reciproci.
- Scenario B: Limita la capacità di scrivere dati: fornisce dati ai client per il consumo, ma non consente loro di aggiornare i dati.
- Scenario C: miglioramento della sicurezza del file system: aumenta la sicurezza limitando i privilegi dell'utente root durante la connessione a un file system.
Scenario A: Controllo dell'accesso basato sull'host
In Compute Cloud@Customer, fornire un ambiente hosted gestito per due client. I client condividono una destinazione di accesso, ma ciascuno dispone del proprio file system e non può accedere ai dati reciproci.
Ad esempio:
-
Il client A è assegnato al blocco CIDR 10.0.0.0/24 e richiede l'accesso in lettura/scrittura al file system A, ma non al file system B.
-
Il client B è assegnato al blocco CIDR 10.1.1.0/24 e richiede l'accesso in lettura/scrittura al file system B, ma non al file system A.
-
Il client C è assegnato al blocco CIDR 10.2.2.0/24 e non ha accesso di alcun tipo al file system A o al file system B.
-
Entrambi i file system A e B sono associati a una singola destinazione di accesso, MT1. Ogni file system dispone di un'esportazione contenuta nel set di esportazione MT1.
Poiché il client A e il client B accedono alla destinazione di accesso da blocchi CIDR diversi, è possibile impostare le opzioni client per entrambe le esportazioni del file system in modo da consentire l'accesso a un solo blocco CIDR. L'accesso al client C viene negato non includendo l'indirizzo IP o il blocco CIDR nelle opzioni di esportazione NFS per qualsiasi esportazione di entrambi i file system.
Esempio di console
Impostare le opzioni di esportazione per il file system A per consentire l'accesso in lettura/scrittura solo al client A, assegnato al blocco CIDR 10.0.0.0/24. I client B e C non sono inclusi in questo blocco CIDR e non possono accedere al file system.
Per informazioni su come accedere alle opzioni di esportazione NFS nella console, vedere Impostazione delle opzioni di esportazione NFS.
| Origine | Porte | Accesso | Squash | UID/GID squash |
|---|---|---|---|---|
| 10.0.0.0/24 | Qualsiasi | Lettura/scrittura | Nessuno | (non in uso) |
Impostare le opzioni di esportazione per il file system B per consentire l'accesso in lettura/scrittura solo al client B, assegnato al blocco CIDR 10.1.1.0/24. Client A e Client C non sono inclusi in questo blocco CIDR e non possono accedere al file system.
| Origine | Porte | Accesso | Squash | UID/GID squash |
|---|---|---|---|---|
| 10.1.1.0/24 | Qualsiasi | Lettura/scrittura | Nessuno | (non in uso) |
Esempio CLI
Per informazioni su come accedere alle opzioni di esportazione NFS nell'interfaccia CLI, vedere Impostazione delle opzioni di esportazione NFS.
Impostare le opzioni di esportazione per il file system A per consentire l'accesso a Read_Write solo al client A, assegnato al blocco CIDR 10.0.0.0/24. I client B e C non sono inclusi in questo blocco CIDR e non possono accedere al file system.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Impostare le opzioni di esportazione per il file system B per consentire l'accesso a Read_Write solo al client B, assegnato al blocco CIDR 10.1.1.0/24. I client A e C non sono inclusi in questo blocco CIDR e non possono accedere al file system.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Scenario B: limitare la capacità di scrivere dati
In Compute Cloud@Customer, fornire i dati ai clienti per il consumo, ma non consentire loro di aggiornare i dati.
Ad esempio, si desidera pubblicare un set di risorse nel file system A per un'applicazione da utilizzare, ma non modificare. L'applicazione si connette dall'indirizzo IP 10.0.0.8.
Esempio di console
Impostare l'indirizzo IP di origine 10.0.0.8 come di sola lettura nell'esportazione per il file system A.
Per informazioni su come accedere alle opzioni di esportazione NFS nella console, vedere Impostazione delle opzioni di esportazione NFS.
| Origine | Porte | Accesso | Squash | UID/GID squash |
|---|---|---|---|---|
| 10.0.0.8 | Qualsiasi | Sola lettura | Nessuno | (non in uso) |
Esempio CLI
Per informazioni su come accedere alle opzioni di esportazione NFS nell'interfaccia CLI, vedere Impostazione delle opzioni di esportazione NFS.
Impostare l'indirizzo IP di origine 10.0.0.8 su READ_ONLY nell'esportazione per il file system A.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Scenario C: migliorare la sicurezza del file system
In Compute Cloud@Customer, per aumentare la sicurezza, puoi limitare i privilegi dell'utente root durante la connessione al file system A. Utilizzare Squash identità per eseguire di nuovo il mapping degli utenti root a UID/GID 65534.
Nei sistemi di tipo UNIX, questa combinazione di UID/GID è riservata a 'nobody', un utente privo di privilegi di sistema.
Esempio di console
Impostare l'indirizzo IP di origine 10.0.0.8 come di sola lettura nell'esportazione per il file system A.
Per informazioni su come accedere alle opzioni di esportazione NFS nella console, vedere Impostazione delle opzioni di esportazione NFS.
| Origine | Porte | Accesso | Squash | UID/GID squash |
|---|---|---|---|---|
| 0.0.0.0/0 | Qualsiasi | Lettura/scrittura | Radice | 65.534 |
Esempio CLI
Per informazioni su come accedere alle opzioni di esportazione NFS nell'interfaccia CLI, vedere Impostazione delle opzioni di esportazione NFS.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'