NFS バージョン

File Storage for VPC には、 NFS バージョン v4.1 以上が必要です。 複数のユーザーが協力してファイル共有に対して一連の読み取り操作と書き込み操作を実行する場合、 NFS プロトコルに固有のロック・メカニズムによってデータの整合性が実現されます。 NFS バージョン 4.1 には、アドバイザリー・バイト範囲のファイル・ロックのサポートが含まれています。 バイト範囲ロックは、アクティビティーをファイル内の一定範囲のバイトにシリアライズするために使用されます。 アドバイザリー・ロック・メカニズムとして、どのアプリケーションへのアクセスも防止しませんが、ロックを取得してロックが保持されているかどうかを照会することにより、アプリケーションが協調して通信するためのメカニズムを提供します。 詳しくは、 RFC8881を参照してください。

マウント・ターゲット・アクセス・モード

マウント・ターゲットを作成または更新するときに、ファイル・シェア上でマウント・ターゲットにアクセスする方法を指定できます。 次の 2 つのオプションがあります。

• セキュリティー・グループ・アクセス ・モードを使用して、サブネット内の特定の仮想サーバー・インスタンス (複数可) のファイル共有へのアクセスを許可します。 このオプションは、 dp2 プロファイルに基づく新しいファイル共有で使用できます。 許可された仮想サーバー・インスタンスとファイル共有の間の通信は、オプションで IPsec でカプセル化することができます。 詳しくは、 転送中の暗号化 を参照してください。 ゾーン間マウントもサポートされます。

• VPC アクセス ・モードを使用して、ベアメタル・サーバーまたは VPC の同じゾーン内の任意の仮想サーバー・インスタンスへのファイル共有へのアクセスを許可します。 このオプションは、すべての ファイル共有プロファイル で使用可能です。 VPC アクセス・モードの共有では、転送中のデータのゾーン間マウントおよび暗号化はサポートされません。 スナップショットは、VPCアクセスモードの共有でもサポートされません。

  モントリオール（ca-mon）などの新しいMZRsでは、VPCアクセスモードはサポートされていません。

ゾーン共通マウント・ターゲット

セキュリティアクセスグループモードで共有のマウントターゲットを作成すると、ファイル共有のゾーンに特定の予約IPを持つVNIをアタッチできます。 このようなマウントターゲットを使用することで、ゾーン1のファイル共有をゾーン2の仮想サーバーインスタンスにマウントすることができる。 サーバーとファイル共有が異なるゾーンにある場合、トラフィックがゾーン間を通過するため、パフォーマンスに影響が出る可能性がある。

VPC全体のアクセスモードを持つファイル共有では、クロスゾーンのマウントはサポートされません。

共有、アクセサーバインディング、マウントターゲットの作成と管理のための IAM ロール

File Storage for VPC には、ロールベースのアクセス制御のためのIAMパーミッションが必要です。 割り当てられたロールに応じて、ファイル共有を作成および管理できます。 詳細については、 IAMのロールとアクションFile Storage for VPC。

詳しくは、アクセス権限を割り当てるためのベスト・プラクティスを参照してください。 アカウントへのユーザーの招待や Cloud IAM アクセス権限の割り当てを含め、IAM プロセス全体については、IAM 入門チュートリアルを参照してください。

IAMサービス間認証

Cloud Identity and Access Management (IAM)を使用して、あるサービスに別のサービスへのアクセスを許可する権限を作成または削除できます。 Block Storage for VPC では、顧客管理の暗号化、地域間レプリケーション、アカウント間アクセス、およびバックアップを構成するためのサービス間認証を作成する必要があります。 詳細については、 サービス間オーソライゼーションの確立を 参照のこと。

コンテキスト・ベースの制約事項

すべてのファイル共有操作に対して、コンテキスト・ベースの制限 (CBR) を有効にすることができます。 これらの制限は、ID に基づく従来の IAM ポリシーと連携して、追加の保護レイヤーを提供します。 IAM ポリシーとは異なり、コンテキスト・ベースの制限はアクセス権限を割り当てません。 コンテキスト・ベースの制限は、ファイル共有の作成など、構成した許可コンテキストからアクセス要求が出されることを検査します。 詳しくは、 コンテキスト・ベースの制限による仮想プライベート・クラウド(VPC)インフラストラクチャー・サービスの保護 を参照してください。

保存時の暗号化

デフォルトでは、ファイル共有は IBM-管理された暗号化で静止時に暗号化される。

お客様管理の暗号化のためにお客様所有のカスタマー・ルート鍵 (CRK) をクラウドに持ち込むことも、鍵管理サービス (KMS) を使用して鍵を生成することもできます。 ルート鍵は、 暗号化されたファイル共有を作成する ときに選択できます。 詳しくは、お客様管理の暗号化を参照してください。

ファイル共有の暗号化タイプを指定したら、後で変更することはできません。

転送中の暗号化

認証された仮想サーバーインスタンスとストレージシステムの間に 暗号化マウント接続を確立 することができます。 dp2 プロファイルに基づくファイル共有の場合、仮想ネットワーク・インターフェースを使用して作成されたマウント・ターゲットは、転送中の暗号化をサポートできます。

ゾーン内の異なるVPCで稼働しているインスタンスにファイル共有を接続したい場合、複数のマウントターゲットを作成することができます。 マウント・ターゲットはVPCごとに1つ作成できます。

転送中の暗号化を使用する場合は、パフォーマンスとセキュリティー強化の間で要件のバランスを取る必要があります。 転送中のデータを暗号化すると、エンドポイントでデータを暗号化および暗号化解除するために必要な処理が原因で、パフォーマンスに何らかの影響を与える可能性があります。 影響は、ワークロードの特性によって異なります。 同期書き込みを実行するワークロードや、データベースなどの VSI キャッシングをバイパスするワークロードは、EIT が有効になっていると、パフォーマンスに大きな影響を与える可能性があります。 EIT のパフォーマンスへの影響を判別するには、EIT を使用するワークロードと使用しないワークロードをベンチマークします。

EITがなくても、データは安全なデータセンター・ネットワークを通じて移動する。 ネットワーク・セキュリティーについて詳しくは、 VPC でのセキュリティー および コンテキスト・ベースの制限による仮想プライベート・クラウド(VPC)インフラストラクチャー・サービスの保護 を参照してください。

File Storage for VPCは、暗号化-in-transitが有効な場合のみ、金融サービス検証済みサービスとみなされる。 詳細については、金融サービス検証済みサービスとはをご覧ください。

Red Hat Enterprise Linux CoreOS (RHCOS)上で実行されている Bare Metal Servers for VPC または仮想サーバーインスタンスでは、転送中の暗号化はサポートされていません。

細分化された許可

ファイル共有のアクセス制御モードを設定し、 セキュリティグループを 使用することができます。 次に、 仮想ネットワークインターフェイスを 持つマウントターゲットを作成する。 このマウント・ターゲットを使用してファイル共有をマウントすると、作成されたファイル共有ゲートウェイが1:1:1のきめ細かな認証を提供します。

マウント・ターゲットに関連付けられたセキュリティー・グループは、マウント・ターゲットと計算ホストの間のトラフィックを制御する仮想ファイアウォールとして機能します。

特定のセキュリティー・グループを選択することも、VPC のデフォルトのセキュリティー・グループを使用することもできます。 VPCのセキュリティグループのルールを変更することで、1つまたは複数の特定の仮想サーバーインスタンスまたはベアメタルサーバーからのファイル共有へのアクセスを制限できます。

仮想サーバー・インスタンスとマウント・ターゲットの間のトラフィックを有効にするには、セキュリティー・グループで以下のルールを構成する必要があります。

• マウント・ターゲットにアタッチするセキュリティ・グループは、ファイル共有をマウントするすべてのサーバーから、 NFS ポートでの TCP プロトコルのインバウンド・アクセスを許可する必要があります。
• ファイル共有をマウントする各仮想サーバー・インスタンスには、 NFS ポート上のマウント・ターゲットへのアウトバウンド・アクセスを許可するセキュリティー・グループが必要です。

セキュリティー・グループのメンバー間のすべてのトラフィックを許可することにより、より動的な方法でセキュリティー・グループを構成できます。 次に、このセキュリティー・グループを、仮想サーバー・インスタンスのネットワーク・インターフェース、およびマウント・ターゲットの仮想ネットワーク・インターフェースに接続します。 詳しくは、 セキュリティー・グループのメンバー間のトラフィックを許可する を参照してください。

UDP ポート 500 および 4500 も許可することをお勧めします。 UDP ポート 500 は Internet Key Exchange (IKE) が暗号鍵を管理するためのものであり、UDP ポート 4500 は IPsec NAT トラバーサル (NAT-T) 用のものです。 VPC 用の VPN ゲートウェイは、 「IPsec ESP パケットの UDP カプセル化(UDP Encapsulation of IPsec ESP Packets)」 のみを使用する VPN パケットを受け入れます。

マウントターゲットを作成する際に、仮想ネットワークインターフェイスのサブネットと予約IPアドレスを指定することができます。 また、指定したサブネット内のIPアドレスを選んでもらうこともできる。 マウント・ターゲットは VPC プライベート IP アドレスを持っている必要があり、IP アドレスは共有と同じゾーンにあるサブネット内になければなりません。 マウント・ターゲットに割り当てられた IP アドレスは、後で変更することはできません。

仮想ネットワーク・インターフェースを使用してマウント・ターゲットを作成する場合、その IP アドレスは以下のいずれかの方法で決定されます。

• サブネット別-サブネットを指定し、そのサブネット内の予約 IP アドレスからシステムが IP アドレスを選択できるようにします。 選択した IP アドレスを使用してネットワーク・インターフェースが作成され、そのネットワーク・インターフェースがファイル共有マウント・ターゲットに接続されます。

• サブネットおよび IP アドレス別-サブネット内の IP アドレスを指定します。 次に、ネットワーク・インターフェースが作成され、マウント・ターゲットに接続されます。

マウントターゲットがアタッチされ、共有がマウントされると、VNIはセキュリティグループポリシーチェックを実行し、許可された仮想サーバーインスタンスだけが共有と通信できるようにします。

![ファイル共有マウントターゲットマウントターゲット付き](images/vni-fs-arch.svg "共有仮想ネットワーク" caption-side="bottom"}に接続されたファイル共有マウントターゲットの"){: caption="*

補足IDとグループ

Unixや Linux、プロセスが実行されるとき、オペレーティング・システムはユーザーID（UID）でユーザーを、グループID（GID）でグループを識別する。 これらの ID は、ユーザーまたはグループがアクセスできるシステム・リソースを決定します。 たとえば、ファイル・ストレージのユーザーIDが12345で、グループIDが6789の場合、ホスト・ノード上のマウントとコンテナ内のマウントは同じIDでなければならない。 ファイル共有にアクセスするには、コンテナーのメイン・プロセスがこれらの ID のいずれかまたは両方に一致する必要があります。

APIとCLIを使用すると、ファイル共有を作成するときに、ファイル共有へのアクセスを制御するためにこれらの属性を設定することができます。 APIとCLIは、 UID と GID の値を設定できる initial owner プロパティを提供します。 ファイル共有をマウントするたびに、マウント先のルート・フォルダーでは、その UID または GID の所有者が使用されます。 詳しくは、『ファイル共有の作成時の補足 ID の追加』を参照してください。

アカウントとサービス間でのファイル共有データの共有

複数のアカウントを管理するお客様は、一部のアカウントが同じデータにアクセスして処理する必要があることに気付く場合があります。 適切な権限を持つ管理者は、複数のアカウントで NFS ファイル・システムを共有できるため、アプリケーションが依存するデータを社内のさまざまなシステムで使用できます。 顧客は File Storage for VPC 共有を IBM watsonx サービスと共有することもできる。

アカウント間 サービス間許可 は、共有所有者アカウントとアクセサー・アカウントの間の信頼を確立するために使用されます。 認証が設定されると、共有所有者アカウントは、共有ファイル共有をマウントできるアカウントのIDを見ることができる。 アクセサーアカウントは、共有された NFS 共有を、共有の所有者情報とともにリソースリストで見ることができます。 アクセサー・アカウントは、起点共有のプロパティーを編集できません。 また、元の共有を削除することはできませんが、独自の VPC にマウントすることはできます。 アクセサーアカウントは、スナップショットを含む共有のすべてのデータを使用することができます。

共有所有者は、アクセス者アカウントがファイル共有データにアクセスする際、転送中の暗号化を強制する権利を有する。 共有オーナーは、許可されるトランジット暗号化モードを、 user_managed または none のいずれか、あるいは両方に設定することができます。 オリジン共有の allowed transit encryption modes が user_managed に設定されている場合、共有アクセサーアカウントはすべてのマウントターゲットを user_managed トランジット暗号化で作成しなければならない。 1つのファイル共有に対して作成されるすべてのマウントターゲットは、同じトランジット暗号化モードを持つ必要があります。

別の IBM Cloud® アカウントまたは VPC からのファイル共有の共有とマウントについて詳しくは、 別のアカウントからのファイル共有の共有とマウント を参照してください。

VPC全体のアクセスモードを持つファイル共有では、他のアカウントやサービスとのファイル共有はサポートされていません。

セキュリティーとコンプライアンスの管理

File Storage for VPC は、組織のセキュリティーとコンプライアンスの管理を支援する Security and Compliance Center と統合されています。 顧客が管理する鍵を使用してファイル共有が暗号化されているかどうかをチェックするゴールを設定できる。 Security and Compliance Center を使用して、アカウントのファイルサービス設定をプロファイルに対して検証することで、潜在的な問題が発生したときにそれを特定することができます。

詳しくは、 Security and Compliance Centerの概要 を参照してください。 セキュリティ目標とコンプライアンス目標の作成については、「セキュリティとコンプライアンス」の「 ルールの定義 」を参照してください。

アクティビティー・トラッキング・イベント

使用できますIBM Cloud® Activity Tracker Event Routing監査イベントをルーティングする方法を構成します。 監査イベントは、セキュリティ運用にとって重要なデータであり、コンプライアンス要件を満たすための重要な要素である。 このようなイベントは、ファイル共有を作成、変更、または削除したときにトリガーされます。 アクティビティ追跡イベントは、ファイル共有レプリケーションを確立して使用するときにもトリガーされます。 詳細は IBM Cloud VPCのアクティビティ追跡イベント を参照。

ファイル共有サービスのログ

プロビジョニング後IBM® Log Analysisログ管理機能を追加するにはIBM Cloud®アーキテクチャでは、プラットフォームログを有効にして、File Storage for VPCサービス。 詳細については、VPC のログ記録。

ユーザー・タグ

新しいファイル共有をプロビジョニングしたり、既存のファイル共有を更新したりするときに、新しいユーザータグを作成したり、既存のタグを追加したりできます。 タグはUI、CLI、APIから作成、表示、管理でき、いつでも削除できます。

ユーザータグは、クラウド資源名（CRN）識別子によって一意に識別される。 ユーザータグを作成する際、課金アカウント内で一意の名前を指定します。 ユーザー・タグは、ラベルまたはキー・バリュー形式で定義できます。 裏では、ファイル・サービスはタグを直接 GhoST サービスに送信および受信します。 ゴーストは、そのキー属性とタグの配列を保管します。 GhoST また、ユーザーのリソース情報も保存されるため、自分が所有するリソースを表示、タグ付け、検索することができます。

ユーザータグは、 バックアップポリシー によって共有のスナップショットを自動的に作成するのにも使用できます。

詳しくは、「 ファイル共有へのユーザー・タグの追加 」および「 タグの処理」を参照してください。

アクセス管理タグ

アクセス管理タグは、柔軟なリソース・グループを作成することでアクセス制御を編成し、IAM ポリシーを更新しなくてもファイル・ストレージ・リソースを拡張できるようにします。

アクセス管理タグを作成し、それらを新規または既存のファイル共有およびレプリカ・ファイル共有に適用することができます。 アクセス管理タグを作成するには、IAM UI またはグローバル検索とタグ付け API を使用します。 次に、VPC UI または API から、ファイル共有にタグを追加します。 タグが追加されると、IAM ポリシーを使用してそれらのタグへのアクセスを管理できます。 詳しくは、 ファイル共有へのアクセス管理タグの追加 を参照してください。