Opções de Exportação para o Serviço File Storage
No Private Cloud Appliance, as opções de exportação NFS permitem criar um controle mais granular de acesso do que é possível usando regras da Lista de Segurança para limitar o acesso da VCN. Você pode usar as opções de exportação NFS para especificar níveis do acesso para endereços IP ou blocos CIDR que se conectam a sistemas de arquivo por meio das exportações em um ponto de destino NFS. O acesso pode ser restrito, de modo que o sistema de arquivos do cliente fique inacessível e invisível para o outro, fornecendo melhores controle de segurança em ambientes multilocatários.
Usando controles do acesso de opção de exportação NFS, você pode limitar a capacidade de os clientes se conectarem ao sistema e exibir ou gravar dados. Por exemplo, se você quiser permitir que os clientes consumam, mas não atualizem recursos em seu sistema de arquivo, poderá definir o acesso como somente leitura. Também é possível reduzir o acesso raiz ao cliente aos seus sistemas de arquivo e mapear os IDs Usuário (UIDs) e IDs Grupo (GIDs) especificados a um único UID/GID anônimo à sua escolha.
Opções de Exportação
As exportações controlam como os clientes NFS acessam os sistemas de arquivos quando se conectam a um ponto de acesso NFS. Os sistemas de arquivos são exportados (disponibilizados) por meio de pontos de acesso NFS.
Opções de exportação do NFS são um conjunto de parâmetros dentro da exportação que especificam o nível de aceso concedido aos clientes NFS quando eles se conectam a um ponto de destino NFS. Uma entrada de opções de exportação NFS dentro de uma exportação define o acesso para um único endereço IP ou faixa de blocos CIDR. É possível ter até 100 opções por sistema de arquivos.
Cada endereço IP ou bloco CIDR de cliente separado para o qual você deseja definir o acesso precisa de uma entrada de opções de exportação separada na exportação. Por exemplo, se você quiser definir opções para os endereços IP 10.0.0.6, 10.0.0.08 e 10.0.0.10 do cliente NFS, será necessário criar três entradas separadas, uma para cada endereço IP.
Quando há mais de uma exportação usando o mesmo sistema de arquivos e o mesmo ponto de acesso NFS, as opções de exportação aplicadas a uma instância são as opções com uma origem que corresponde mais de perto ao endereço IP da instância. A menor (mais específica) correspondência tem precedência em todas as exportações. Portanto, você pode determinar quais opções de exportação são aplicadas a uma instância observando o valor de origem de todas as exportações.
Por exemplo, considere as duas entradas de opções de exportação a seguir especificando o acesso para uma exportação:
Entrada 1: Origem: 10.0.0.8/32, Acesso: Leitura/Gravação
Entrada 2: Origem: 10.0.0.0/16, Acesso: Somente para Leitura
Nesse caso, os clientes que se conectam à exportação do endereço IP 10.0.0.8 têm acesso de leitura/gravação. Quando há várias opções de exportação, a correspondência mais específica é aplicada.
Quando mais de um sistema de arquivos for exportado para o mesmo ponto de acesso NFS, você deverá exportar para o ponto de acesso NFS com a menor rede (maior número CIDR) primeiro. Para obter informações e instruções detalhadas, consulte o My Oracle Support Doc ID 2823994.1.
Os sistemas de arquivos podem ser associados a uma ou mais exportações, contidas em um ou mais destinos de montagem.
Se o endereço IP de origem do cliente não corresponder a nenhuma entrada da lista de uma única exportação, essa exportação não será visível para o cliente. No entanto, o sistema de arquivos pode ser acessado por meio de outras exportações no mesmo ou em outros pontos de acesso NFS. Para negar completamente o acesso do cliente a um sistema de arquivos, verifique se o endereço IP de origem do cliente ou o bloco CIDR não está incluído em nenhuma exportação para nenhum ponto de acesso NFS associado ao sistema de arquivos.
Para obter informações sobre como configurar opções de exportação para vários cenários de compartilhamento de arquivos, consulte Cenários de Controle de Acesso NFS.
Para obter mais informações sobre como configurar opções de exportação, consulte a seção intitulada Definindo Opções de Exportação NFS.
Padrões de Opção de Exportação NFS
Ao criar um sistema de arquivo e uma exportação, as opções de exportação NFS desse sistema de arquivo são definidas com os padrões a seguir, que permitem acesso total para todas as conexões de origem de cliente NFS. Esses padrões deverão ser alterados se você quiser restringir o acesso:
Observação: ao usar a CLI do OCI para definir as opções de exportação, se você definir as opções com um array vazio (nenhuma opção especificada), a exportação não estará acessível a nenhum cliente.
| Opção de Exportação na IU da Web do Compute | Opção de Exportação na CLI do OCI | Valor Padrão | Descrição |
|---|---|---|---|
| Origem: |
|
0.0.0.0/0 |
O endereço IP ou bloco CIDR de um cliente NFS conectado. |
| Portas: |
|
Qualquer |
Sempre definido como:
|
| Acessar: |
|
Leitura/Gravação |
Especifica o acesso do cliente NFS de origem. Pode ser definido de acordo com um destes valores:
|
| Fazer Squash: |
|
Nenhum |
Determina se os clientes que acessam o sistema de arquivos como raiz têm o ID do Usuário (UID) e o ID do Grupo (GID) remapeados para o UID/GID de squash. Estes são os possíveis valores:
|
| Formar UID/GID: |
|
65.534 |
Esta definição é usada junto com a opção Squash. Ao remapear um usuário raiz, você pode usar essa definição para alterar o anonymousUid e o anonymousGid padrão para qualquer ID de usuário de sua escolha. |
Cenários de Controle de Acesso NFS
No Private Cloud Appliance, Aprenda diferentes maneiras de controlar o acesso NFS revisando alguns cenários.
- Cenário A: Controlar o Acesso Baseado no Host: Fornece um ambiente gerenciado para dois clientes. Os clientes compartilham um ponto de destino NFS, mas cada qual tem seu próprio sistema de arquivo e não podem acessar dados de outros.
- Cenário B: Limitar a Capacidade de Gravar Dados: Fornece dados aos clientes para consumo, mas não permite que eles atualizem os dados.
- Cenário C: Melhorar a Segurança do Sistema de Arquivos: Aumenta a segurança limitando os privilégios do usuário raiz ao estabelecer conexão com um sistema de arquivos.
Cenário A: Controlar Acesso Baseado em Host
No Private Cloud Appliance, forneça um ambiente hospedado gerenciado para dois clientes. Os clientes compartilham um destino de montagem, mas cada qual tem seu próprio sistema de arquivo e não podem acessar os dados uns dos outros.
Por exemplo:
-
O Cliente A foi designado ao bloco CIDR 10.0.0.0/24 e requer acesso de leitura/gravação ao sistema De arquivos A, mas não o sistema B.
-
O cliente B foi designado ao bloco CIDR 10.1.1.0/24 e requer acesso de leitura/gravação ao sistema do arquivo B, mas não do sistema A.
-
O Cliente C é designado ao bloco CIDR 10.2.2.0/24 e não tem acesso de nenhum tipo ao sistema De arquivos A ou B.
-
Ambos os sistemas de arquivo A e B estão associados ao único ponto de acesso NFS, MT1. Cada sistema de arquivos tem uma exportação contida no conjunto de exportação de MT1.
Como os Clientes A e B acessa o ponto de acesso NFS de diferentes blocos CIDR, você pode definir as opções do cliente para as exportações de ambos os sistemas de arquivos para permitir o acesso a apenas um único bloco CIDR. O acesso ao Cliente C é negado, não incluindo seu endereço IP ou bloco CIDR nas opções em exportação NFS para qualquer exportação de um dos sistemas de arquivos.
Exemplo de IU da Web de Computação
Defina as opções para exportação do sistema de arquivo A para autorizar acesso de leitura/gravação apenas ao Cliente A, que é designado ao bloco CIDR 10.0.0.0/24. Os Clientes B e C não são incluídos neste bloco CIDR e não conseguem acessar o sistema de arquivos.
Para saber como acessar as opções de exportação NFS na IU da Web do Compute, consulte Definindo Opções de Exportação NFS.
| Origem | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 10.0.0.0/24 | Qualquer | Leitura/Gravação | Nenhum | (não usado) |
Defina as opções para exportação do sistema de arquivo B para autorizar o acesso de leitura/gravação apenas ao Cliente B, que é designado ao bloco CIDR 10.1.1.0/24. O Cliente A e O Cliente C não são incluídos neste bloco CIDR e não pode acessar o sistema de arquivos.
| Origem | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 10.1.1.0/24 | Qualquer | Leitura/Gravação | Nenhum | (não usado) |
Exemplo da CLI do OCI
Para saber como acessar as opções de exportação NFS na CLI do OCI, consulte Definindo Opções de Exportação NFS.
Defina as opções da exportação do sistema de arquivo A para permitir o acesso Read_Write apenas ao Cliente A, que é designado ao bloco CIDR 10.0.0.0/24. Os Clientes B e C não são incluídos neste bloco CIDR e não conseguem acessar o sistema de arquivos.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Defina as opções para exportação do sistema de arquivo B para autorizar o acesso Read_Write somente ao Cliente B, que é designado ao bloco CIDR 10.1.1.0/24. O Cliente A e Cliente C não estão incluídos neste bloco CIDR e não pode acessar o sistema de arquivos.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Cenário B: Limitar a Capacidade de Gravar Dados
No Private Cloud Appliance, forneça dados aos clientes para consumo, mas não permita que eles atualizem os dados.
Por exemplo, você gostaria de publicar um conjunto de recursos no sistema de arquivos A para que um aplicativo consuma, mas não altere. O aplicativo se conecta do endereço IP 10.0.0.8.
Exemplo de IU da Web de Computação
Defina o endereço IP 10.0.0.8 de origem como somente leitura na exportação para o sistema de arquivos A.
Para saber como acessar as opções de exportação NFS na IU da Web do Compute, consulte Definindo Opções de Exportação NFS.
| Origem | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 10.0.0.8 | Qualquer | Somente leitura | Nenhum | (não usado) |
Exemplo da CLI do OCI
Para saber como acessar as opções de exportação NFS na CLI do OCI, consulte Definindo Opções de Exportação NFS.
Defina o endereço IP 10.0.0.8 de origem para READ_ONLY na exportação para o sistema de arquivos A.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Cenário C: Melhorar a Segurança do Sistema de Arquivos
No Private Cloud Appliance, para aumentar a segurança, você pode limitar os privilégios do usuário raiz ao estabelecer conexão com o Sistema de Arquivos A. Use Squash de Identidade para remapear usuários raiz para o UID/GID 65534.
Em sistemas semelhantes ao UNIX, essa combinação de UID/GID é reservada para 'nobody', um usuário sem privilégios de sistema.
Exemplo de IU da Web de Computação
Defina o endereço IP 10.0.0.8 de origem como somente leitura na exportação para o sistema de arquivos A.
Para saber como acessar as opções de exportação NFS na IU da Web do Compute, consulte Definindo Opções de Exportação NFS.
| Origem | Portas | Acesso | Fazer Squash | Formar UID/GID |
|---|---|---|---|---|
| 0.0.0.0/0 | Qualquer | Leitura/Gravação | Raiz | 65.534 |
Exemplo da CLI do OCI
Para saber como acessar as opções de exportação NFS na CLI do OCI, consulte Definindo Opções de Exportação NFS.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'