Opções de Exportação para o Serviço File Storage
No Compute Cloud@Customer, as opções de exportação NFS permitem criar um controle de acesso mais detalhado do que é possível usando regras de lista de segurança para limitar o acesso à VCN. Você pode usar as opções de exportação do NFS para especificar níveis de acesso para endereços IP ou blocos CIDR que se conectam a sistemas de arquivos por meio de exportações em um destino de montagem. O acesso pode ser restrito para que o sistema de arquivos de cada cliente fique inacessível e invisível para o outro, fornecendo melhores controles de segurança em ambientes multitenant.
Usando os controles de acesso da opção de exportação NFS, é possível limitar a capacidade dos clientes de conexão com o sistema de arquivos e exibir ou gravar dados. Por exemplo, se você quiser permitir que os clientes consumam, mas não atualizem recursos no sistema de arquivos, poderá definir o acesso como somente para leitura. Você também pode reduzir o acesso raiz do cliente aos sistemas de arquivos e mapear IDs de Usuário (UIDs) e IDs de Grupo (GIDs) especificados para um único UID/GID anônimo de sua escolha.
Opções de Exportação
As exportações controlam como os clientes NFS acessam os sistemas de arquivos ao estabelecer conexão com um ponto de acesso NFS. Os sistemas de arquivos são exportados (disponibilizados) por meio de pontos de acesso NFS.
As opções de exportação NFS são um conjunto de parâmetros dentro da exportação que especificam o nível de acesso concedido aos clientes NFS quando se conectam a um ponto de acesso NFS. Uma entrada de opções de exportação NFS dentro de uma exportação define o acesso para um único endereço IP ou faixa de blocos CIDR. Você pode ter até 100 opções por sistema de arquivos.
Cada endereço IP ou bloco CIDR separado do cliente ao qual você deseja definir o acesso precisa de uma entrada de opções de exportação separada na exportação. Por exemplo, se você quiser definir opções para os endereços IP de cliente NFS 10.0.0.6, 10.0.0.08 e 10.0.0.10, precisará criar três entradas separadas, uma para cada endereço IP.
Quando há mais de uma exportação usando o mesmo sistema de arquivos e o mesmo ponto de acesso NFS, as opções de exportação aplicadas a uma instância são as opções com uma origem que mais corresponde ao endereço IP da instância. A menor correspondência (mais específica) tem precedência em todas as exportações. Portanto, você pode determinar quais opções de exportação são aplicadas a uma instância observando o valor de origem de todas as exportações.
Por exemplo, considere estas duas entradas de opções de exportação especificando o acesso para uma exportação:
Entrada 1: Origem: 10.0.0.8/32, Acesso: Leitura/Gravação
Entrada 2: Origem: 10.0.0.0/16, Acesso: Somente para Leitura
Nesse caso, os clientes que se conectam à exportação do endereço IP 10.0.0.8 têm acesso de leitura/gravação. Quando há várias opções de exportação, a correspondência mais específica é aplicada.
Quando mais de um sistema de arquivos for exportado para o mesmo ponto de acesso NFS, você deverá exportar primeiro para o ponto de acesso NFS com a menor rede (o maior número CIDR). Para obter informações e instruções detalhadas, consulte o My Oracle Support Doc ID 2823994.1.
Os sistemas de arquivos podem ser associados a uma ou mais exportações, contidas em um ou mais pontos de acesso NFS.
Se o endereço IP de origem do cliente não corresponder a nenhuma entrada na lista para uma única exportação, essa exportação não ficará visível para o cliente. No entanto, o sistema de arquivos pode ser acessado por meio de outras exportações no mesmo ou em outros destinos de montagem. Para negar completamente o acesso do cliente a um sistema de arquivos, certifique-se de que o endereço IP de origem do cliente ou o bloco CIDR não esteja incluído em nenhuma exportação para nenhum ponto de acesso NFS associado ao sistema de arquivos.
Para obter informações sobre como configurar opções de exportação para vários cenários de compartilhamento de arquivos, consulte Cenários de Controle de Acesso NFS.
Para obter mais informações sobre como configurar opções de exportação, consulte a seção Definindo Opções de Exportação NFS.
Padrões da Opção de Exportação NFS
Quando você cria um sistema de arquivos e exporta, as opções de exportação NFS desse sistema de arquivos são definidas com os padrões a seguir, o que permite acesso completo a todas as conexões de origem do cliente NFS. Esses padrões deverão ser alterados se você quiser restringir o acesso:
Observação: ao usar a CLI para definir as opções de exportação, se você definir as opções com um array vazio (nenhuma opção especificada), a exportação não estará acessível a nenhum cliente.
| Opção de Exportação na Console do Compute Cloud@Customer | Opção de Exportação na CLI | Valor Padrão | Descrição |
|---|---|---|---|
| Origem: |
|
0.0.0.0/0 |
O endereço IP ou bloco CIDR de um cliente NFS conectado. |
| Portas: |
|
Qualquer um |
Sempre definido como:
|
| Acessar: |
|
Leitura/Gravação |
Especifica o acesso do cliente NFS de origem. Pode ser definido com um destes valores:
|
| Squash: |
|
Nenhuma |
Determina se os clientes que acessam o sistema de arquivos como raiz têm seus IDs de usuário (UID) e IDs de grupo (GID) remapeados para o squash UID/GID. Estes são os possíveis valores:
|
| Formar UID/GID: |
|
65,534 |
Esta configuração é usada com a opção Squash. Ao remapear um usuário raiz, você pode usar essa definição para alterar o anonymousUid e o anonymousGid padrão para qualquer ID de usuário de sua escolha. |
Cenários de Controle de Acesso NFS
No Compute Cloud@Customer, aprenda diferentes maneiras de controlar o acesso NFS revisando alguns cenários.
- Cenário A: Controlar Acesso Baseado em Host: Fornece um ambiente gerenciado para dois clientes. Os clientes compartilham um ponto de acesso NFS, mas cada um tem seu próprio sistema de arquivos e não pode acessar dados um do outro.
- Cenário B: Limitar a Capacidade de Gravar Dados: Fornece dados aos clientes para consumo, mas não permite que eles atualizem os dados.
- Cenário C: Melhorar a Segurança do Sistema de Arquivos: Aumenta a segurança limitando os privilégios do usuário raiz ao estabelecer conexão com um sistema de arquivos.
Cenário A: Controlar Acesso Baseado em Host
No Compute Cloud@Customer, forneça um ambiente hospedado gerenciado para dois clientes. Os clientes compartilham um ponto de acesso NFS, mas cada um tem seu próprio sistema de arquivos e não pode acessar os dados um do outro.
Por exemplo:
-
O Cliente A é designado ao bloco CIDR 10.0.0.0/24 e requer acesso de leitura/gravação ao sistema de arquivos A, mas não ao sistema de arquivos B.
-
O cliente B é designado ao bloco CIDR 10.1.1.0/24 e requer acesso de leitura/gravação ao sistema de arquivos B, mas não ao sistema de arquivos A.
-
O cliente C é designado ao bloco CIDR 10.2.2.0/24 e não tem acesso de qualquer tipo ao sistema de arquivos A ou ao sistema de arquivos B.
-
Ambos os sistemas de arquivos A e B estão associados a um único ponto de acesso NFS, MT1. Cada sistema de arquivos tem uma exportação contida no conjunto de exportação de MT1.
Como o Cliente A e o Cliente B acessam o ponto de acesso NFS de diferentes blocos CIDR, você pode definir as opções do cliente para ambas as exportações do sistema de arquivos para permitir o acesso a apenas um único bloco CIDR. O Cliente C tem acesso negado por não incluir seu endereço IP ou bloco CIDR nas opções de exportação NFS para qualquer exportação de qualquer sistema de arquivos.
Exemplo de Console do Compute Cloud@Customer
Defina as opções de exportação do sistema de arquivos A para permitir acesso de leitura/gravação somente ao Cliente A, que é designado ao bloco CIDR 10.0.0.0/24. O Cliente B e o Cliente C não estão incluídos nesse bloco CIDR e não é possível acessar o sistema de arquivos.
Para saber como acessar as opções de exportação NFS na Console do Compute Cloud@Customer, consulte Definindo Opções de Exportação NFS.
| Origem | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 10.0.0.0/24 | Qualquer um | Leitura/Gravação | Nenhuma | (não usado) |
Defina as opções de exportação do sistema de arquivos B para permitir acesso de leitura/gravação somente ao Cliente B, que é designado ao bloco CIDR 10.1.1.0/24. O Cliente A e o Cliente C não estão incluídos nesse bloco CIDR e não é possível acessar o sistema de arquivos.
| Origem | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 10.1.1.0/24 | Qualquer um | Leitura/Gravação | Nenhuma | (não usado) |
Exemplo de CLI
Para saber como acessar as opções de exportação NFS na CLI, consulte Definindo Opções de Exportação NFS.
Defina as opções de exportação do sistema de arquivos A para permitir acesso Read_Write somente ao Cliente A, que é designado ao bloco CIDR 10.0.0.0/24. O Cliente B e o Cliente C não estão incluídos nesse bloco CIDR e não é possível acessar o sistema de arquivos.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Defina as opções de exportação do sistema de arquivos B para permitir acesso Read_Write somente ao Cliente B, que é designado ao bloco CIDR 10.1.1.0/24. O Cliente A e o Cliente C não estão incluídos nesse bloco CIDR e não é possível acessar o sistema de arquivos.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Cenário B: Limitar a Capacidade de Gravar Dados
No Compute Cloud@Customer, forneça dados aos clientes para consumo, mas não permita que eles atualizem os dados.
Por exemplo, você gostaria de publicar um conjunto de recursos no sistema de arquivos A para que um aplicativo consuma, mas não altere. O aplicativo se conecta do endereço IP 10.0.0.8.
Exemplo de Console do Compute Cloud@Customer
Defina o endereço IP de origem 10.0.0.8 como somente para leitura na exportação para o sistema de arquivos A.
Para saber como acessar as opções de exportação NFS na Console do Compute Cloud@Customer, consulte Definindo Opções de Exportação NFS.
| Código-fonte | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 10.0.0.8 | Qualquer um | Somente leitura | Nenhuma | (não usado) |
Exemplo de CLI
Para saber como acessar as opções de exportação NFS na CLI, consulte Definindo Opções de Exportação NFS.
Defina o endereço IP de origem 10.0.0.8 como READ_ONLY na exportação do sistema de arquivos A.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Cenário C: Melhorar a Segurança do Sistema de Arquivos
No Compute Cloud@Customer, para aumentar a segurança, você pode limitar os privilégios do usuário raiz ao estabelecer conexão com o Sistema de Arquivos A. Use o Squash de Identidade para remapear os usuários raiz para o UID/GID 65534.
Nos sistemas do tipo UNIX, essa combinação UID/GID é reservada para 'nobody', um usuário sem privilégios de sistema.
Exemplo de Console do Compute Cloud@Customer
Defina o endereço IP de origem 10.0.0.8 como somente para leitura na exportação para o sistema de arquivos A.
Para saber como acessar as opções de exportação NFS na Console do Compute Cloud@Customer, consulte Definindo Opções de Exportação NFS.
| Código-fonte | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 0.0.0.0/0 | Qualquer um | Leitura/Gravação | Root | 65,534 |
Exemplo de CLI
Para saber como acessar as opções de exportação NFS na CLI, consulte Definindo Opções de Exportação NFS.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'