关于 File Storage for VPC
IBM Cloud® File Storage for VPC 在 VPC 基础设施内提供基于 的文件存储服务。NFS 您可以在区域内的可用性区域中创建文件共享。 您可以跨多个 VPC 与同一专区或您所在区域的其他专区中的多个虚拟服务器实例共享这些实例。 您还可以将文件共享的访问权限限制在 VPC 中的特定虚拟服务器实例或实例组,并在传输过程中对数据进行加密。
概述
File Storage for VPC 提供 VPC 基础结构中的文件共享。 您可以在区域级别创建文件共享,例如 us-south-1
。 文件共享由名称标识,并与 IBM Cloud 客户帐户中的资源组相关联。
在区域中创建文件共享,并在 VPC 中为共享创建挂载目标。 您可以通过指定 访问模式 来控制文件共享的访问方式:特定实例的定向访问或整个 VPC 的访问。
您可以在不同区域的源文件共享和副本文件共享之间设置 复制。 因此,如果主站点发生故障,您可以切换到副本文件共享继续运行。
缺省情况下,使用 IBM管理的加密对文件共享上的数据进行静态加密。 为了提高安全性,您可以使用自己的根密钥来保护与客户管理的密钥的文件共享。 指定安全组访问方式并将 虚拟网络接口 连接到文件共享安装目标时,可以对传输中的数据启用加密。 有关更多信息,请参阅 文件共享加密。
File Storage for VPC 与 Security and Compliance Center 集成,可帮助您管理组织的安全性和合规性。 有关更多信息,请参阅 管理安全性与合规性。
您可以将用户标记和访问管理标记应用于文件共享。 使用 UI,CLI,API 或 Terraform 创建共享或更新现有共享时添加标记。 有关更多信息,请参阅 文件共享的标记。
你可以通过控制台、CLI、API 和 Terraform 查看和管理你的文件共享。 您可以将 文件共享大小 从原始容量以 GB 为单位递增到 32,000 GB。 您还可以 增加或减少文件共享 IOPS 以满足您的性能需求。 增加容量或调整 IOPS 的操作不会导致中断或无法访问存储器。 将自动调整计费。 您只需为所需的容量和性能付费。
File Storage配置文件
共享配置文件定义文件共享的容量和性能特征。 无论共享是用于一般用途还是高性能工作负载,您都可以根据具体需求选择最佳选项。
在可用性区域中创建文件共享时,使用 dp2 概要文件根据共享大小指定文件共享的总 IOPS。
如果您具有基于 IOPS 层概要文件或定制 IOPS 概要文件的现有文件共享; 那么可以更新这些共享以使用 dp2 概要文件。
所有概要文件都由固态驱动器 (SSD) 支持。 有关更多信息,请参阅 File Storage for VPC 概要文件。
访问协议
文件访问协议为客户端(虚拟服务器实例或应用程序)提供了与文件服务器交互的标准化方式,从而实现了跨网络的文件共享和协作。
NFS 版本
File Storage for VPC 需要 NFS V v4.1 或更高版本。 当多个用户合作并在文件共享上运行一系列读和写操作时,将通过本机 NFS 协议的锁定机制来实现数据一致性。 NFS version 4.1 包含对咨询字节范围文件锁定的支持。 字节范围锁定用于将活动序列化为文件中的某个字节范围。 作为一种咨询锁定机制,它不阻止访问任何应用程序,但为应用程序提供了一种通过获取锁定和查询是否持有锁定进行合作通信的机制。 有关更多信息,请参阅 RFC8881。
保护数据
IBM Cloud® IBM Cloud® Virtual Private Cloud 时提供安全专用工具和功能,帮助您安全地管理数据。 下一节将介绍文件共享可用的访问控制、数据加密、配置管理、审核和日志记录选项。
用于创建和管理共享、访问绑定和挂载目标的 IAM 角色
File Storage for VPC 需要 IAM 权限来进行基于角色的访问控制。 根据指定的角色,您可以创建和管理文件共享。 有关详细信息,请参阅 File Storage for VPC 的 IAM 角色和操作。
有关更多信息,请参阅分配访问权的最佳实践。 有关完整的 IAM 过程(包括邀请用户加入帐户和分配 Cloud IAM 访问权),请参阅 IAM 入门教程。
基于上下文的限制
您可以对所有文件共享操作启用基于上下文的限制 (CBR)。 这些限制适用于基于身份的传统 IAM 策略,以提供额外的保护层。 与 IAM 策略不同,基于上下文的限制不会分配访问权。 基于上下文的限制检查访问请求是否来自您配置的允许上下文,例如创建文件共享。 有关更多信息,请参阅 使用基于上下文的限制保护虚拟私有云(VPC)基础架构服务。
静态加密
缺省情况下,使用 IBM管理的加密对文件共享进行静态加密。
您可以将自己的客户根密钥 (CRK) 引入云以进行客户管理的加密,也可以让密钥管理服务 (KMS) 为您生成密钥。 您可以在 创建加密文件共享 时选择根密钥。 有关更多信息,请参阅 客户管理的加密。
为文件共享指定加密类型后,无法对其进行更改。
传输中加密
您可以使用 IPsec 在授权虚拟服务器实例与存储系统之间 建立加密安装连接。 对于基于 dp2
概要文件的文件共享,使用虚拟网络接口创建的安装目标可以支持传输中的加密。 安装目标可以用于源或副本共享。
如果要将文件共享连接到区域中不同 VPC 中运行的实例,那么可以创建多个安装目标。 您可以为每个 VPC 创建一个挂载目标。
如果选择使用“传输中的加密”,那么需要在性能与增强的安全性之间平衡您的需求。 由于需要对端点上的数据进行加密和解密,因此对传输中的数据进行加密可能会对性能产生一些影响。 影响取决于工作负载特征。 在启用 EIT 时,执行同步写入或绕过 VSI 高速缓存 (例如数据库) 的工作负载可能会对性能产生重大影响。 要确定 EIT 的性能影响,请在使用和不使用 EIT 的情况下对工作负载进行基准测试。
即使没有 EIT,数据也会通过安全的数据中心网络进行传输。 有关网络安全性的更多信息,请参阅 VPC 中的安全性 和 使用基于上下文的限制保护虚拟私有云(VPC)基础架构服务。
File Storage for VPC只有在启用传输中加密时才会被视为金融服务验证服务。 如需了解更多信息,请参阅 什么是金融服务验证服务。
Bare Metal Servers for VPC 或在 Red Hat Enterprise Linux CoreOS (RHCOS) 上运行的虚拟服务器实例不支持传输中加密。
精细授权
您可以将文件共享的访问控制模式设置为使用 安全组。 然后,创建一个带有 虚拟网络接口 的挂载目标。 使用此挂载目标挂载文件共享时,创建的文件共享网关会提供 1:1:1 的细粒度授权。
与安装目标关联的安全组充当虚拟防火墙,用于控制安装目标与计算主机之间的流量。
您可以选择特定安全组或使用 VPC 的缺省安全组。 通过修改 VPC 中安全组的规则,可以限制一个或多个特定虚拟服务器实例或裸机服务器对文件共享的访问。
要在虚拟服务器实例与安装目标之间启用流量,必须在安全组中配置以下规则:
- 附加到挂载目标的安全组必须允许从要挂载文件共享的所有服务器 NFS 端口对 TCP 协议的入站访问。
- 要安装文件共享的每个虚拟服务器实例都必须具有允许对 NFS 端口上的安装目标进行出站访问的安全组。
您可以通过允许安全组成员之间的所有流量,以更动态的方式配置安全组。 然后,将此安全组连接到虚拟服务器实例的网络接口和安装目标的虚拟网络接口。 有关更多信息,请参阅 允许安全组成员之间的流量。
还建议允许 UDP 端口 500 和 4500。 UDP 端口 500 用于因特网密钥交换 (IKE) 以管理加密密钥,UDP 端口 4500 用于 IPsec NAT-遍历 (NAT-T)。 VPC 的 VPN 网关仅接受具有 UDP 封装 IPsec ESP 信息包 的 VPN 信息包。
创建挂载目标时,可以为虚拟网络接口指定子网和保留 IP 地址。 您还可以让服务在指定子网中为您选择一个 IP 地址。 安装目标必须具有 VPC 专用 IP 地址,并且该 IP 地址必须位于与共享位于同一专区中的子网中。 以后无法更改分配给安装目标的 IP 地址。
使用虚拟网络接口创建安装目标时,将通过以下任一方式确定其 IP 地址:
-
按子网-指定子网并允许系统从该子网中的保留 IP 地址选择 IP 地址。 使用所选 IP 地址创建网络接口,然后将该网络接口连接到文件共享安装目标。
-
按子网和 IP 地址-指定子网中的 IP 地址。 然后,将创建网络接口并将其连接到安装目标。
附加挂载目标并挂载共享后,VNI 会执行安全组策略检查,以确保只有授权的虚拟服务器实例才能与共享通信。
{: caption="
补充 ID 和组
当进程在 Unix 和 Linux上运行时,操作系统将标识具有用户标识 (UID) 的用户和具有组标识 (GID) 的组。 这些标识确定用户或组可访问的系统资源。 例如,如果文件存储器用户标识为 12345,其组标识为 6789,那么主机节点和容器中的安装必须具有相同的标识。 容器的主进程必须与其中一个或两个标识匹配才能访问文件共享。
在创建文件共享时,可以使用 API 和 CLI 设置这些属性,以控制对文件共享的访问。 API 和 CLI 提供了 initial owner
属性,您可以在此设置 UID
和 GID
值。 无论您在何处安装文件共享,安装该文件共享的根文件夹都将使用该 UID 或 GID 所有者。 有关更多信息,请参阅 创建文件共享时添加补充标识。
在帐户和服务之间共享文件共享数据
管理多个帐户的客户有时会发现他们的一些帐户需要访问和使用相同的数据。 具有正确权限的管理员可以跨帐户共享 NFS 文件系统,因此其应用程序所依赖的数据在公司内的不同系统中可用。 客户还可以与 IBM watsonx 服务共享其 File Storage for VPC 共享。
跨帐户 服务到服务授权 用于在共享所有者和存取器帐户之间建立信任。 授权设置到位后,共享所有者账户就可以看到可以挂载共享文件共享的账户 ID。 访问者账户可以在其资源列表中看到共享的 NFS 共享以及共享所有者信息。 存取器帐户无法编辑源共享的属性。 他们也无法删除源共享,但可以将其安装在自己的 VPC 中。 访问者账户可以使用共享的所有数据,包括可能存在的快照。
当访问者账户访问文件共享数据时,共享所有者有权在传输过程中强制使用加密。 共享所有者可将允许的传输加密模式设置为 user_managed
或 none
,或两者兼而有之。 当原始共享的 allowed transit encryption modes
设置为 user_managed
时,共享访问者账户必须使用 user_managed
中转加密创建其所有挂载目标。
为一个文件共享创建的所有挂载目标必须具有相同的传输加密模式。
有关从另一个 IBM Cloud® 帐户或 VPC 共享和安装文件共享的更多信息,请参阅 从另一个帐户共享和安装文件共享。
对于具有VPC范围访问模式的文件共享,不支持与其他账户或服务共享文件
管理安全性与合规性
File Storage for VPC 与 Security and Compliance Center 集成,以帮助您管理组织的安全性和合规性。 您可以设置目标,以检查是否使用客户管理的密钥对文件共享进行了加密。 通过使用 Security and Compliance Center 来针对概要文件验证帐户中的文件服务配置,您可以在出现潜在问题时识别这些问题。
有关更多信息,请参阅 Security and Compliance Center。 有关创建安全性与合规性目标的更多信息,请参阅“安全性与合规性”文档中的 定义规则。
活动跟踪事件
您可以使用 IBM Cloud® Activity Tracker Event Routing 配置如何路由审计事件。 审计事件是安全操作的关键数据,也是满足合规要求的关键因素。 创建、修改或删除文件共享时会触发此类事件。 建立和使用文件共享复制时,也会触发活动跟踪器事件。 有关详细信息,请参阅 IBM Cloud VPC。
文件共享服务的日志记录
配置 IBM® Log Analysis 以在 IBM Cloud® 体系结构中添加日志管理功能后,您可以启用平台日志以查看和分析 File Storage for VPC 服务的日志。 有关详细信息,请参阅 VPC 的日志。
复制和故障切换
如果在同一地理区域中有多个 VPC,那么可以在 VPC 中的另一个区域或另一个区域中创建文件共享的只读副本。 将根据您指定的复制调度定期更新副本。 您可以安排每 15 分钟复制一次数据。 当数据变为不可访问或应用程序失败时,使用复制是从主站点上的突发事件恢复的好方法。 故障切换 到副本共享后,它就成为新的、可写的主共享。 有关更多信息,请参阅 关于文件共享复制。
对于跨区域复制,必须先配置 服务到服务授权,然后才能创建副本文件共享。
文件共享快照
快照是文件共享的时间点副本。 快照可用于还原单个文件,或在同一区域内创建其他文件共享,并在快照中捕获数据。 您可以在控制台或 CLI 中手动创建快照,也可以使用 API 以编程方式创建快照。 您还可以使用 Backup for VPC 服务,安排定期自动创建快照。 更多信息,请参见 关于 File Storage for VPC 快照 和 规划快照。
只有将“安全组”作为访问控制模式的共享才支持快照。 除非删除共享的所有快照,否则也无法将访问控制模式更改为 VPC。
无法创建副本或访问器共享的快照。 不过,原始共享的快照会在下一次计划同步时复制到只读副本共享。 原始共享的快照也可提供给访问者共享。
文件共享数据清除
删除文件共享时,该数据将立即变为不可访问。 除去物理磁盘上数据的所有指针。 如果您稍后在同一帐户或其他帐户中创建文件共享,那么将分配一组新的指针。 帐户无法访问物理存储器上的任何数据,因为这些指针已删除。 将新数据写入磁盘时,将覆盖来自已删除文件存储器的任何不可访问数据。
IBM 保证无法访问已删除的数据,并且最终会覆盖并消除已删除的数据。 删除文件共享时,必须先覆盖这些块,然后才能再次向您或其他客户提供该文件存储器。
此外,当 IBM 停用物理驱动器时,会先销毁该驱动器,然后再进行处置。 已停用的物理驱动器不可用,它们上的任何数据都不可访问。
在控制台中监控共享相关指标
IBM Cloud® Monitoring 是第三方云原生和容器智能管理系统,您可以将其作为 IBM Cloud 架构的一部分。IBM Cloud Monitoring 由 Sysdig 与 IBM 合作运营。 您可以访问 IBM Cloud 控制台中的文件共享仪表板,查看当前读写吞吐量和最大吞吐量等指标。 有关详细信息,请参阅 Monitoring metrics for File Storage for VPC。
此发行版中的限制
以下限制适用于 File Storage for VPC的此发行版。
- 配置文件共享时不支持以前的配置文件。 新建文件共享必须使用
dp2
配置文件。 但是,早期版本的文件共享可以继续使用其配置文件。 - 限制文件共享对特定虚拟服务器实例的访问以及传输中的数据加密仅可用于基于
dp2
概要文件的共享。 - 不支持 Windows 操作系统。
- 每个文件共享的最小容量为 10 GB。
- 每个文件共享的最大容量为 32,000 GB。
- 对于已删除的文件共享,不存在任何数据保留策略。 删除文件共享后,无法将其取消删除。
- 每个 VPC 的每个专区最多可以有 256 个主机同时连接到单个文件共享。
- 您可以在 VPC 中创建最多 300 个文件共享。
- 当您与其他帐户或外部服务共享文件共享时,最多可以创建 100 个存取器共享绑定。
- 如果现有安装目标与文件共享相关联,或者如果正在进行副本操作,那么无法使用
DELETE /shares/<id>
API 请求来删除文件共享。 - 只有在 2023 年 8 月 31 日之后供应的 Bare Metal Servers for VPC 支持 File Storage for VPC。
- File Storage for VPC 和 Bare Metal Servers for VPC 之间不支持传输加密。
- 如果文件共享的
lifecycle_state
为updating
或者正在进行副本操作,那么无法使用DELETE /shares/<id>/source
API 请求从其副本中拆分文件共享。 - 当源共享和副本共享都属于同一帐户时,在同一地理位置中支持跨区域复制。 不支持跨地理位置复制。
- 蒙特利尔(
ca-mon
)MZR不支持跨区域复制。
后续步骤
- 规划文件共享和安装目标。
- 创建文件共享和安装目标。
- 安装文件共享。 安装是一个过程,服务器的操作系统通过该过程使存储设备上的文件和目录可供用户通过服务器的文件系统进行访问。 有关更多信息,请参阅以下主题:
- IBM Cloud File Share Mount Helper 实用程序
- 在 Red Hat Linux 上安装文件共享。
- 在 CentOS中安装文件共享。
- 在 Ubuntu 上安装文件共享。
- 在 z/OS上安装文件共享
- 管理文件共享和数据。
- 查看文件共享和安装目标。 你可以通过控制台、CLI、API 或 Terraform 获取文件共享和挂载目标的信息。
- 管理文件共享。 您可以重命名文件共享。 您可以增加其容量并修改其 IOPS。 可以将安装目标添加到文件共享。 您可以重命名或删除安装目标。 当您不再需要文件共享时,可以将其删除。
- 创建与复制的文件共享。 通过复制功能,您可以将文件共享的只读副本保留在另一个区域中。 将根据您指定的调度从源共享更新副本共享。 当数据变为不可访问或应用程序发生故障时,复制提供了一种从主站点上的事件恢复的方法。 复制还可用于地理扩展。
- 从其他帐户共享和安装文件共享。