NFS-Version

File Storage for VPC erfordert NFS-Versionen v4.1 oder höher. Wenn mehrere Benutzer kooperieren und eine Reihe von Lese-und Schreiboperationen für die Dateifreigabe ausführen, wird die Datenkonsistenz durch native Sperrmechanismen des NFS-Protokolls erreicht. NFS Version 4.1 enthält Unterstützung für das Empfehlungssperren von Bytebereichsdateien. Die Bytebereichssperre wird verwendet, um die Aktivität in einen Bytebereich innerhalb einer Datei zu serialisieren. Als beratender Sperrmechanismus verhindert er nicht den Zugriff auf eine Anwendung, sondern stellt einen Mechanismus bereit, mit dem Anwendungen kooperativ kommunizieren können, indem sie Sperren anfordern und abfragen, ob eine Sperre gehalten wird. Weitere Informationen finden Sie unter RFC8881.

Zugriffsmodi für Mountziel

Wenn Sie ein Mountziel erstellen oder aktualisieren, können Sie angeben, wie auf das Mountziel in der Dateifreigabe zugegriffen werden soll. Es stehen zwei Optionen zur Auswahl:

• Verwenden Sie den Modus Sicherheitsgruppenzugriff, um den Zugriff auf die Dateifreigabe für eine bestimmte virtuelle Serverinstanz oder für bestimmte Instanzen in einem Teilnetz zu autorisieren. Diese Option ist für neuere Dateifreigaben verfügbar, die auf dem dp2-Profil basieren. Die Kommunikation zwischen einer berechtigten virtuellen Serverinstanz und der Dateifreigabe kann optional über IPsec eingebunden werden. Weitere Informationen finden Sie unter Verschlüsselung in Transit. Die zonenübergreifende Montage wird ebenfalls unterstützt.

• Verwenden Sie den Modus VPC-Zugriff, um den Zugriff auf die Dateifreigabe für einen Bare-Metal-Server oder eine beliebige virtuelle Serverinstanz in derselben Zone einer VPC zuzulassen. Diese Option ist für alle Dateifreigabeprofile verfügbar. Das zonenübergreifende Anhängen und Verschlüsseln von Daten bei der Übertragung werden für gemeinsam genutzte Ressourcen im VPC-Zugriffsmodus nicht unterstützt. Snapshots werden auch nicht für Freigaben mit VPC-Zugriffsmodus unterstützt.

  Der VPC-Zugriffsmodus wird in neueren MZRs wie Montreal (ca-mon) nicht unterstützt.

Zonenübergreifende Mountziele

Wenn Sie ein Einhängeziel für eine Freigabe mit Sicherheitszugriffsgruppenmodus erstellen, können Sie eine VNI mit einer bestimmten reservierten IP in der Zone Ihrer Dateifreigabe anhängen. Durch die Verwendung eines solchen Einhängeziels können Sie eine Dateifreigabe aus Zone 1 auf einer virtuellen Serverinstanz in Zone 2 einhängen. Wenn sich der Server und die Dateifreigabe in verschiedenen Zonen befinden, kann die Leistung beeinträchtigt werden, wenn der Datenverkehr zwischen den Zonen hin- und hergeht.

Die zonenübergreifende Einbindung wird für Dateifreigaben mit VPC-weitem Zugriffsmodus nicht unterstützt.

IAM-Rollen zum Erstellen und Verwalten von Freigaben, Accessor-Bindungen und Mount-Zielen

File Storage for VPC erfordert IAM-Berechtigungen für die rollenbasierte Zugriffskontrolle. Abhängig von der Ihnen zugewiesenen Rolle können Sie Dateifreigaben erstellen und verwalten. Weitere Informationen finden Sie unter IAM-Rollen und -Aktionen für File Storage for VPC.

Weitere Informationen finden Sie unter Bewährte Verfahren für die Zuweisung von Zugriff. Informationen zum vollständigen IAM-Prozess, der die Einladung der Benutzer zu Ihrem Konto und die Zuweisung des Cloud IAM-Zugriffs umfasst, finden Sie im IAM-Lernprogramm mit der Einführung.

IAM-Dienst-zu-Dienst-Berechtigungen

Sie können die Cloud Identity and Access Management (IAM) verwenden, um eine Berechtigung zu erstellen oder zu entfernen, die einem Dienst Zugriff auf einen anderen Dienst gewährt. Für Block Storage for VPC müssen Sie eine Dienst-zu-Dienst-Autorisierung erstellen, um die vom Kunden verwaltete Verschlüsselung, die regionsübergreifende Replikation, den kontoübergreifenden Zugriff und Backups zu konfigurieren. Weitere Informationen finden Sie unter Einrichten von Dienst-zu-Dienst-Berechtigungen.

Kontextbasierte Einschränkungen

Sie können kontextbasierte Einschränkungen (CBR) für alle Dateifreigabeoperationen aktivieren. Diese Einschränkungen können mit herkömmlichen, auf der Identität basierenden IAM-Richtlinien kombiniert werden und so eine zusätzliche Schutzebene bieten. Im Gegensatz zu IAM-Richtlinien weisen kontextbasierte Einschränkungen keine Zugriffsberechtigung zu. Kontextbasierte Einschränkungen überprüfen, ob eine Zugriffsanforderung aus einem zulässigen Kontext stammt, den Sie konfigurieren, wie z. B. das Erstellen einer Dateifreigabe. Weitere Informationen finden Sie unter Virtual Private Cloud(VPC)Infrastructure Services mit kontextbasierten Einschränkungen schützen.

Verschlüsselung ruhender Daten

Standardmäßig werden Dateifreigaben im Ruhezustand mit IBM-managed encryption verschlüsselt.

Sie können Ihren eigenen CRK (Customer Root Key, Stammschlüssel des Kunden) zur kundenverwalteten Verschlüsselung in die Cloud bringen oder Sie können einen Key Management Service (KMS) für Sie generieren lassen. Sie können den Rootschlüssel auswählen, wenn Sie eine verschlüsselte Dateifreigabe erstellen. Weitere Informationen hierzu finden Sie im Abschnitt zur vom Kunden verwalteten Verschlüsselung.

Nachdem Sie einen Verschlüsselungstyp für eine Dateifreigabe angegeben haben, können Sie ihn nicht ändern.

Verschlüsselung bei der Übertragung

Sie können eine verschlüsselte Mount-Verbindung zwischen der autorisierten virtuellen Serverinstanz und dem Speichersystem herstellen. Für Dateifreigaben, die auf dem dp2-Profil basieren, können Mountziele, die mit einer virtuellen Netzschnittstelle erstellt wurden, die Verschlüsselung während der Übertragung unterstützen.

Wenn Sie eine Dateifreigabe mit Instanzen verbinden möchten, die in verschiedenen VPCs in einer Zone ausgeführt werden, können Sie mehrere Einhängeziele erstellen. Sie können für jede VPC ein Einhängeziel erstellen.

Wenn Sie sich für die Verwendung der Verschlüsselung während der Übertragung entscheiden, müssen Sie Ihre Anforderungen auf die Leistung und die erweiterte Sicherheit abwägen. Das Verschlüsseln von Daten während der Übertragung kann aufgrund der Verarbeitung, die zum Verschlüsseln und Entschlüsseln der Daten auf den Endpunkten erforderlich ist, zu Leistungseinbußen führen. Die Auswirkung hängt von den Workloadmerkmalen ab. Workloads, die synchrone Schreibvorgänge ausführen oder das VSI-Caching umgehen, wie z. B. Datenbanken, können erhebliche Auswirkungen auf die Leistung haben, wenn das EIT aktiviert ist. Um die Auswirkungen des ETI auf die Leistung zu ermitteln, bewerten Sie Ihre Arbeitsbelastung mit und ohne ETI.

Auch ohne EIT laufen die Daten durch ein sicheres Rechenzentrumsnetz. Weitere Informationen zur Netzsicherheit finden Sie unter Sicherheit in Ihrer VPC und VPC-Infrastrukturservices(Virtual Private Cloud)mit kontextbasierten Einschränkungen schützen.

der Dienst File Storage for VPC gilt nur dann als von Financial Services validierter Dienst, wenn die Verschlüsselung bei der Übertragung aktiviert ist. Weitere Informationen finden Sie unter Was ist ein von Financial Services validierter Dienst?

Die Verschlüsselung im Transit wird für Bare Metal Servers for VPC oder virtuelle Serverinstanzen, die auf Red Hat Enterprise Linux CoreOS (RHCOS) ausgeführt werden, nicht unterstützt.

Differenzierte Autorisierung

Sie können den Zugriffskontrollmodus einer Dateifreigabe auf die Verwendung von Sicherheitsgruppen einstellen. Erstellen Sie dann ein Einhängeziel mit einer virtuellen Netzwerkschnittstelle. Wenn Sie Ihre Dateifreigabe mit Hilfe dieses Einhängeziels einhängen, bietet das erstellte Dateifreigabe-Gateway eine granulare 1:1:1-Autorisierung.

Die Sicherheitsgruppen, die dem Mountziel zugeordnet sind, fungieren als virtuelle Firewall, die den Datenverkehr zwischen dem Mountziel und dem Rechenhost steuert.

Sie können eine bestimmte Sicherheitsgruppe wählen oder die Standardsicherheitsgruppe der VPC verwenden. Durch Ändern der Regeln der Sicherheitsgruppen in Ihrer VPC können Sie den Zugriff auf die Dateifreigabe von einer oder mehreren bestimmten virtuellen Serverinstanzen oder Bare-Metal-Servern einschränken.

Um den Datenverkehr zwischen einer virtuellen Serverinstanz und einem Mountziel zu aktivieren, müssen Sie die folgenden Regeln in den Sicherheitsgruppen konfigurieren:

• Die Sicherheitsgruppe, die Sie einem Einhängeziel zuordnen, muss den eingehenden Zugriff für das TCP-Protokoll am Port NFS von allen Servern erlauben, auf denen Sie die Dateifreigabe einhängen möchten.
• Jede virtuelle Serverinstanz, an die die Dateifreigabe angehängt werden soll, muss über eine Sicherheitsgruppe verfügen, die abgehenden Zugriff auf das Mountziel am NFS-Port ermöglicht.

Sie können Ihre Sicherheitsgruppe dynamischer konfigurieren, indem Sie den gesamten Datenverkehr zwischen Mitgliedern der Sicherheitsgruppe zulassen. Ordnen Sie diese Sicherheitsgruppe anschließend der Netzschnittstelle der virtuellen Serverinstanz und der virtuellen Netzschnittstelle des Mountziels zu. Weitere Informationen finden Sie unter Datenverkehr zwischen Mitgliedern einer Sicherheitsgruppe zulassen.

Außerdem wird empfohlen, die UDP-Ports 500 und 4500 zuzulassen. UDP-Port 500 ist für Internet Key Exchange (IKE) zur Verwaltung von Verschlüsselungsschlüsseln bestimmt, und UDP-Port 4500 ist für IPsec NAT-Traversal (NAT-T) bestimmt. Ein VPN-Gateway für VPC akzeptiert VPN-Pakete nur mit UDP-Kapselung von IPsec-ESP-Paketen.

Wenn Sie das Einhängeziel erstellen, können Sie ein Subnetz und eine reservierte IP-Adresse für die virtuelle Netzwerkschnittstelle angeben. Sie können den Dienst auch veranlassen, eine IP-Adresse im angegebenen Subnetz für Sie auszuwählen. Das Mountziel muss eine private VPC-IP-Adresse haben und die IP-Adresse muss sich in einem Teilnetz befinden, das sich in derselben Zone wie die gemeinsam genutzte Ressource befindet. Die IP-Adresse, die dem Mountziel zugeordnet ist, kann später nicht geändert werden.

Wenn Sie das Mountziel mit einer virtuellen Netzschnittstelle erstellen, wird seine IP-Adresse auf eine der folgenden Arten bestimmt:

• Nach Teilnetz-Sie geben das Teilnetz an und ermöglichen dem System die Auswahl einer IP-Adresse aus den reservierten IP-Adressen innerhalb dieses Teilnetzes. Es wird eine Netzschnittstelle mit der ausgewählten IP-Adresse erstellt, die dann dem Mountziel der Dateifreigabe zugeordnet wird.

• Nach Teilnetz und IP-Adresse-Sie geben die IP-Adresse im Teilnetz an. Anschließend wird die Netzschnittstelle erstellt und dem Mountziel zugeordnet.

Wenn das Einhängeziel angehängt und die Freigabe eingehängt ist, führt der VNI eine Überprüfung der Sicherheitsgruppenrichtlinie durch, um sicherzustellen, dass nur autorisierte virtuelle Serverinstanzen mit der Freigabe kommunizieren können.

Ergänzende IDs und Gruppen

Wenn ein Prozess unter Unix und Linux läuft, identifiziert das Betriebssystem einen Benutzer mit einer Benutzer-ID (UID) und eine Gruppe mit einer Gruppen-ID (GID). Diese IDs bestimmen, auf welche Systemressourcen ein Benutzer oder eine Gruppe zugreifen kann. Wenn die Benutzer-ID des Dateispeichers beispielsweise 12345 und die Gruppen-ID 6789 lautet, müssen die Einhängevorgänge auf dem Host-Knoten und im Container dieselben IDs haben. Der Hauptprozess des Containers muss mit einer oder beiden dieser IDs übereinstimmen, um auf die Dateifreigabe zugreifen zu können.

Mit der API und der Befehlszeilenschnittstelle können Sie diese Attribute zur Steuerung des Zugriffs auf Ihre Dateifreigaben festlegen, wenn Sie eine Dateifreigabe erstellen. Die API und die Befehlszeilenschnittstelle bieten die Eigenschaft initial owner, mit der Sie die Werte UID und GID festlegen können. Überall dort, wo Sie die Dateifreigabe anhängen, verwendet der Stammordner, in dem Sie sie anhängen, diese UID oder GID-Eigner. Weitere Informationen finden Sie unter Zusätzliche IDs hinzufügen, wenn Sie eine Dateifreigabe erstellen.

Gemeinsame Nutzung von Dateifreigabedaten zwischen Accounts und Services

Kunden, die mehrere Konten verwalten, stellen manchmal fest, dass einige ihrer Konten auf dieselben Daten zugreifen und damit arbeiten müssen. Administratoren mit den richtigen Berechtigungen können ein NFS-Dateisystem kontenübergreifend gemeinsam nutzen, sodass die Daten, von denen ihre Anwendungen abhängen, auf den verschiedenen Systemen innerhalb des Unternehmens verfügbar sind. Kunden können ihre File Storage for VPC Shares auch mit dem IBM watsonx Service teilen.

Die kontenübergreifende Service-zu-Service-Autorisierung wird verwendet, um eine Vertrauensbeziehung zwischen den Konten des Eigentümers und des Zugriffsberechtigten herzustellen. Nachdem die Autorisierung eingerichtet wurde, kann das Konto, das die Freigabe besitzt, die IDs der Konten sehen, die die gemeinsame Dateifreigabe aktivieren können. Das Accessor-Konto kann die freigegebenen NFS-Freigaben in seiner Ressourcenliste zusammen mit den Eigentümerinformationen der Freigabe sehen. Das Konto des Zugriffsberechtigten kann die Eigenschaften der ursprünglichen Freigabe nicht bearbeiten. Sie können die Ursprungsfreigabe nicht löschen, aber sie können sie in ihren eigenen VPCs anhängen. Accessor-Konten können alle Daten der Freigabe nutzen, einschließlich der eventuell vorhandenen Snapshots.

Der Eigentümer der Freigabe hat das Recht, die Verwendung der Verschlüsselung bei der Übertragung durchzusetzen, wenn das Konto des Zugriffsberechtigten auf die Daten der Dateifreigabe zugreift. Der Eigentümer der Freigabe kann die zulässigen Transitverschlüsselungsmodi so einstellen, dass entweder user_managed oder none oder beide zugelassen werden. Wenn die allowed transit encryption modes der Ursprungsfreigabe auf user_managed eingestellt ist, müssen die Freigabezugriffskonten alle ihre Einhängeziele mit der Transitverschlüsselung user_managed erstellen. Alle Einhängeziele, die für eine Dateifreigabe erstellt werden, müssen denselben Transitverschlüsselungsmodus haben.

Weitere Informationen zum Teilen und Anhängen einer Dateifreigabe über ein anderes IBM Cloud®-Konto oder eine VPC finden Sie unter Dateifreigabe über ein anderes Konto teilen und anhängen.

Die gemeinsame Nutzung einer Dateifreigabe mit anderen Konten oder Diensten wird für Dateifreigaben mit VPC-weitem Zugriffsmodus nicht unterstützt.

Sicherheit und Compliance verwalten

File Storage for VPC ist in Security and Compliance Center integriert, um die Verwaltung der Sicherheit und der Compliance in Ihrer Organisation zu unterstützen. Sie können Ziele einrichten, die prüfen, ob Dateifreigaben mit vom Kunden verwalteten Schlüsseln verschlüsselt sind. Wenn Sie die Security and Compliance Center verwenden, um die Dateidienstkonfigurationen in Ihrem Konto anhand eines Profils zu überprüfen, können Sie potenzielle Probleme erkennen, sobald sie auftreten.

Weitere Informationen finden Sie unter Erste Schritte mit Security and Compliance Center. Weitere Informationen zum Erstellen von Sicherheits- und Compliance-Zielen finden Sie unter Definieren von Regeln in der Dokumentation Sicherheit und Compliance.

Activity Tracker-Ereignisse

Sie könnenIBM Cloud® Activity Tracker Event Routing um zu konfigurieren, wie Überwachungsereignisse weitergeleitet werden. Auditing-Ereignisse sind kritische Daten für den Sicherheitsbetrieb und ein Schlüsselelement für die Erfüllung von Compliance-Anforderungen. Solche Ereignisse werden ausgelöst, wenn Sie eine Dateifreigabe erstellen, ändern oder löschen. Ereignisse zur Aktivitätsverfolgung werden auch ausgelöst, wenn Sie die Dateifreigabe-Replikation einrichten und verwenden. Weitere Informationen finden Sie unter Aktivitätsverfolgungsereignisse für IBM Cloud VPC.

Protokollierung für den Dateifreigabedienst

Nach der BereitstellungIBM® Log Analysis um Protokollverwaltungsfunktionen zu IhremIBM Cloud® Architektur können Sie Plattformprotokolle aktivieren, um Protokolle derFile Storage for VPC Service. Weitere Informationen finden Sie unter Protokollierung für VPC.

Benutzertags

Sie können neue Benutzer-Tags erstellen oder bestehende Tags hinzufügen, wenn Sie eine neue Dateifreigabe bereitstellen oder eine bestehende Dateifreigabe aktualisieren. Sie können Tags über die Benutzeroberfläche, die Befehlszeilenschnittstelle oder die API erstellen, anzeigen und verwalten und jederzeit entfernen.

Benutzer-Tags werden durch eine CRN-Kennung (Cloud Resource Name) eindeutig identifiziert. Wenn Sie einen Benutzer-Tag erstellen, geben Sie einen eindeutigen Namen für Ihr Abrechnungskonto an. Sie können Benutzer-Tags im Label- oder Key-Value-Format definieren. Tags werden vom Dateiservice durch Hintergrundverarbeitung direkt zum GhoST-Service gesendet oder von dort empfangen. GhoST speichert die zugehörigen Schlüsselattribute und das Array der Tags. GhoST speichert auch Informationen über Benutzerressourcen, so dass Sie Ressourcen, die Ihnen gehören, anzeigen, kennzeichnen und suchen können.

Benutzermarkierungen können auch von Sicherungsrichtlinien verwendet werden, um automatisch Momentaufnahmen der Freigabe zu erstellen.

Weitere Informationen finden Sie unter Benutzertags zu Dateifreigaben hinzufügen und Mit Tags arbeiten.

Zugriffsverwaltungstags

Mithilfe von Zugriffsmanagementtags können Sie die Zugriffssteuerung organisieren, indem Sie flexible Ressourcengruppierungen erstellen, sodass Ihre Dateispeicherressourcen wachsen können, ohne dass Aktualisierungen an IAM-Richtlinien erforderlich sind.

Sie können Zugriffsmanagementtags erstellen und diese dann auf neue oder vorhandene Dateifreigaben und Replikatdateifreigaben anwenden. Verwenden Sie die IAM-Benutzerschnittstelle oder die API für globale Suche und Tagging, um den Zugriffsmanagementtag zu erstellen. Fügen Sie anschließend über die VPC-Benutzerschnittstelle oder -API die Tags zu einer Dateifreigabe hinzu. Nachdem die Tags hinzugefügt wurden, können Sie den Zugriff auf sie mithilfe der IAM-Richtlinien verwalten. Weitere Informationen finden Sie unter Add access management tags to a file share.