Trabajar con exportaciones y opciones de exportación NFS

Conozca las funciones básicas de las opciones de exportación y exportación de NFS, y cómo mejorar la seguridad y controlar el acceso del cliente a los sistemas de archivos de File Storage.

Visión general

Las opciones de exportación NFS le proporcionan un mayor control de acceso granular mediante el uso de reglas de la lista de seguridad para limitar el acceso de la VCN. Puede utilizar las opciones de exportación NFS para especificar los niveles de acceso por direcciones IP o bloques de CIDR que se conectan a sistemas de archivos mediante exportaciones en un destino de montaje. El acceso se puede restringir para que el sistema de archivos de cada cliente sea inaccesible e invisible, lo que proporciona mejores controles de seguridad en entornos multiinquilino.

Mediante los controles de acceso a las opciones de exportación NFS, puede limitar la capacidad de los clientes de conectarse al sistema de archivos y ver o escribir datos. Por ejemplo, si desea permitir a los clientes utilicen pero no actualicen recursos en el sistema de archivos, puede definir el acceso en Solo lectura. También puede reducir el acceso raíz del cliente a los sistemas de archivos y asignar los ID de usuario (UID) y los ID de grupo (GID) especificados a un UID/GID anónimo de su elección. Para obtener más información sobre cómo funcionan las opciones de exportación NFS con otras capas de seguridad, consulte Acerca de la seguridad de File Storage.

Consejo

Vea un vídeo sobre el trabajo con opciones de exportación NFS en File Storage.

Exportaciones

Las exportaciones controlan el acceso de los clientes NFS a los sistemas de archivos al conectarse a un destino de montaje. Los sistemas de archivos se exportan (están disponibles) mediante destinos de montaje. Cada destino de montaje mantiene un conjunto de exportación que contiene una o varias exportaciones. Un sistema de archivos se puede exportar a través de uno o más destinos de montaje. Un sistema de archivos debe tener al menos una exportación en un destino de montaje para que las instancias monten el sistema de archivos. La información utilizada por una exportación incluye el OCID del sistema de archivos, el OCID de destino de montaje, el OCID de conjunto de exportación, la ruta de exportación y las opciones de exportación del cliente. Por lo general, se crea una exportación en un destino de montaje cuando se crea el sistema de archivos. A partir de ese momento, puede crear exportaciones adicionales para un sistema de archivos en cualquier destino de montaje que resida en el mismo dominio de disponibilidadque el sistema de archivos.

Puede realizar las siguientes tareas de gestión de exportaciones:

Opciones de exportación NFS

Las opciones de exportación NFS son un conjunto de parámetros dentro de la exportación que especifican el nivel de acceso otorgado a los clientes NFS cuando se conectan a un destino de montaje. Una entrada de opciones de exportación NFS en una exportación define el acceso para una única dirección IP o rango de bloques de CIDR. Puede tener hasta 100 opciones por exportación.

Cada dirección IP de cliente o bloque de CIDR independiente que desee definir para el acceso necesita una entrada de opciones de exportación independiente en la exportación. Por ejemplo, para definir opciones para direcciones IP del cliente NFS 10.0.0.6, 10.0.08 y 10.0.0.10, debe crear tres entradas separadas, una para cada dirección IP.

El servicio File Storage tiene en cuenta el orden de cada entrada de opciones de exportación para la exportación. Durante una solicitud de NFS de un cliente, el servicio File Storage aplica el primer conjunto de opciones que coincide con la dirección IP de origen del cliente. Solo se aplica el primer conjunto; el resto se ignora.

Por ejemplo, considere las siguientes dos entradas de opciones de exportación especificando el acceso a una exportación:

Entrada 1: origen: 10.0.0.0/16, acceso: Solo lectura

Entrada 2: origen: 10.0.0.8, acceso: Lectura/Escritura

En este caso, los clientes que se conectan a la exportación desde la dirección IP 10.0.0.8 tienen acceso Solo lectura. La dirección IP de origen de la solicitud está incluida en el bloque de CIDR especificado en la primera entrada y File Storage aplica las opciones en la primera coincidencia.

Importante

Los sistemas de archivos se pueden asociar con una o más exportaciones, incluidas en uno o más destinos de montaje. Si la dirección IP de origen del cliente no coincide con ninguna entrada de la lista para una sola exportación, esa exportación no será visible para el cliente. Sin embargo, es posible acceder al sistema de archivos mediante otras exportaciones en los mismos destinos de montaje o en otros. Para denegar completamente el acceso de cliente a un sistema de archivos, asegúrese de que la dirección IP de origen del cliente o el bloque de CIDR no estén incluidos en ninguna exportación para ningún destino de montaje asociado con el sistema de archivos.

Se pueden configurar las siguientes opciones para controlar el acceso de exportación:

Origen: dirección IP o bloque de CIDR de un cliente NFS de conexión.
Puertos: este valor determina si los clientes NFS especificados en el Origen son necesarios para conectarse desde un puerto de origen con privilegios. Los puertos con privilegios son cualquier puerto, incluido 1-1023. En sistemas similares a UNIX, solo el usuario raíz puede abrir puertos con privilegios. Al definir este valor en Privileged, se impide las solicitudes de puertos sin privilegios. El valor por defecto para este valor varía según la forma de creación de la exportación.

La creación de una exportación en la consola mediante las selecciones por defecto define Puertos en Cualquiera, a menos que seleccione Usar opciones de exportación segura.

Al crear una exportación mediante la API o la CLI sin una matriz ClientOption explícita, se define el atributo requirePrivilegedSourcePort de la opción de cliente en false. Cuando crea una matriz ClientOption de forma explícita, requirePrivilegedSourcePort utiliza el valor predeterminado true.

Importante

Cuando Ports está definido en Privileged, también debe seguir estos pasos de configuración adicionales:

Al montar el sistema de archivos desde un sistema similar a UNIX, incluya la opción resvport en un comando de montaje durante el montaje. Por ejemplo:
```
sudo mount -o resvport 10.x.x.x:/fs-export-path /mnt/yourmountpoint
```
Para obtener más información, consulte Montaje de sistemas de archivos desde instancias de tipo UNIX.
Al montar el sistema de archivos desde un sistema Windows, asegúrese de que el valor de la clave de registro UseReserverdPorts esté definido en 1.

Para obtener más información, consulte Montaje de sistemas de archivos desde instancias de Windows.

Acceso: esta configuración especifica el acceso de cliente NFS de origen.
- Read/Write es el valor por defecto.
- Sólo Lectura.
Acceso anónimo: esta configuración especifica si se debe activar el acceso anónimo para la autenticación de Kerberos en casos en los que el destino de montaje no puede encontrar un usuario en el servidor LDAP. Si Anonymous Access (Acceso anónimo) es Not Allowed (No permitido) y el usuario no se encuentra en el directorio LDAP, o el intento de consulta devuelve un error de LDAP, la operación falla. Si Anonymous Access (Acceso anónimo) es Allowed (Permitido) y el usuario no se encuentra en el directorio LDAP, la operación utiliza los valores de Squash UID y Squash GID de la exportación. Para obtener más información, consulte Using Kerberos Authentication.
Nota

Si la exportación no utiliza la autenticación de Kerberos, seleccione No permitido.
Opciones de autenticación permitidas: esta configuración especifica los métodos de autenticación permitidos por el cliente de NFS.
- SYS: autenticación UNIX v3 de NFS. Si no especifica un valor de autenticación permitido al crear la opción de exportación, se utiliza un valor por defecto de SYS.
- KRB5: autenticación Kerberos v3 de NFS.
- KRB5I: autenticación Kerberos v3 e integridad de datos de NFS.
- KRB5P: autenticación Kerberos NFS v3, integridad de datos y privacidad de datos (cifrado en tránsito).
Puede seleccionar varios métodos de autenticación. Por ejemplo, la configuración de Allowed Authentication Options en KRB5 y KRB5I permitiría a Kerberos y Kerberos básicos con integridad de datos, pero no permitiría la autenticación SYS y KRB5P.
Atención

Una selección vacía de Opciones de autenticación permitidas elimina todos los tipos de autenticación y puede provocar una pérdida de acceso. Los clientes que requieren autenticación SYS pierden acceso si la opción SYS no está presente.
Importante

Los comandos de montaje que se utilizan para montar el sistema de archivos varían en función de los métodos de autenticación permitidos en las opciones de exportación. Si los clientes NFS se conectan mediante un destino de montaje activado para Kerberos, el comando de montaje debe incluir la opción sec. Por ejemplo:
```
sudo mount -o sec=krb5 10.x.x.x:/fs-export-path /mnt/yourmountpoint
```
```
sudo mount -o sec=krb5i 10.x.x.x:/fs-export-path /mnt/yourmountpoint
```
```
sudo mount -o sec=krb5p 10.x.x.x:/fs-export-path /mnt/yourmountpoint
```
Para los clientes NFS que se conectan con AUTH_SYS en la misma exportación, el comando de montaje incluiría sec=sys. Por ejemplo:
```
sudo mount -o sec=sys 10.x.x.x:/fs-export-path /mnt/yourmountpoint
```
Si la exportación utiliza solo AUTH_SYS, la opción sec es opcional. Los muestras de comandos de montaje proporcionados por la consola se basan en las opciones de exportación seleccionadas.
Nota

Si un cliente NFS utiliza una exportación que tiene varios tipos de autenticación y el sistema de archivos se monta sin especificar sec=<auth_type>, el cliente debe seleccionar automáticamente el tipo de autenticación más fuerte soportado por la exportación.
Squash: este valor determina si los clientes de source que acceden al sistema de archivos tienen su ID de usuario (UID) e ID de grupo (GID) reasignados a Squash UID y Squash GID.
- Ninguno: no se ha reasignado ningún usuario. Este es el valor por defecto.
- Raíz: solo se asigna la combinación de UID/GID de usuario raíz 0/0.
- Todo: todos los usuarios y grupos se reasignan.
UID de Squash: esta configuración se utiliza junto con las opciones Squash y Anonymous Access. Al volver a asignar usuarios, puede utilizar este valor para cambiar el valor por defecto de 65534 a cualquier otro ID de usuario.
Squash GID: esta configuración se utiliza junto con las opciones Squash y Anonymous Access. Al volver a asignar grupos, puede utilizar este valor para cambiar el valor por defecto de 65534 a cualquier otro ID de grupo.

Escenarios típicos de control de acceso

Al crear un sistema de archivos y la exportación, las opciones de exportación NFS para ese sistema de archivos se establecen en los siguientes valores predeterminados, lo que permite el acceso completo para todas las conexiones de origen de cliente NFS. Estos valores predeterminados se deben cambiar si desea restringir el acceso:

Origen: 0.0.0.0/0 (Todos)
Requerir Puerto de Origen con Privilegios: Cualquiera
Opciones de autenticación admitidas: SYS
Acceso: Lectura/Escritura
Squash: Ninguno

Control de acceso basado en host

Proporcione un entorno alojado gestionado para dos clientes. Los clientes comparten un destino de montaje, pero cada uno tiene su propio sistema de archivos y no pueden acceder a los datos del otro. Por ejemplo:

El cliente A, que está asignado al bloque de CIDR 10.0.0.0/24, requiere acceso de lectura/escritura al sistema de archivos A, pero no al sistema de archivos B.
El cliente B, que está asignado al bloque de CIDR 10.1.1.0/24, necesita acceso de lectura/escritura al sistema de archivos B, pero no al sistema de archivos A.
El cliente C, que está asignado al bloque de CIDR 10.2.2.0/24, no tiene ningún tipo de acceso al sistema de archivos A ni al sistema de archivos B.
Los sistemas de archivos A y B están asociados a un único destino de montaje, MT1. Cada sistema de archivos tiene una exportación incluida en el conjunto de exportación de MT1.

Dado que el cliente A y el cliente B acceden al destino de montaje desde diferentes bloques de CIDR, puede definir las opciones del cliente de ambas exportaciones del sistema de archivos para permitir el acceso solo a un único bloque de CIDR. Se deniega el acceso al cliente C al no incluir su dirección IP o bloque de CIDR en las opciones de exportación NFS para cualquier exportación de cualquier sistema de archivos.

Defina las opciones de exportación del sistema de archivos A para permitir el acceso de lectura/escritura solo al cliente A, que está asignado al bloque de CIDR 10.0.0/24. El cliente B y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.

Opciones de exportación del sistema de archivos A:
- Origen: 10.0.0.0/24
- Puertos: Con privilegios
- Acceso: Lectura/Escritura
- Squash: Ninguno
Defina las opciones de exportación del sistema de archivos B para permitir el acceso de lectura/escritura solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. El cliente A y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.

Opciones de exportación del sistema de archivos B:
- Origen: 10.1.1.0/24
- Puertos: Con privilegios
- Acceso: Lectura/Escritura
- Squash: Ninguno
Defina las opciones de exportación del sistema de archivos A para permitir el acceso Read_Write solo al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. El cliente B y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.
Comando
oci fs export update --export-id <file_system_A_export_ID> --export-options '[{"source":"10.0.0.0/24","require-privileged-source-port":"true","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'
Defina las opciones de exportación del sistema de archivos B para permitir el acceso Read_Write solo al cliente B, asignado al bloque de CIDR 10.1.1.0/24. El cliente A y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.
Comando
oci fs export update --export-id <file_system_B_export_ID> --export-options '[{"source":"10.1.1.0/24 ","require-privileged-source-port":"true","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'
Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

Configure las opciones de exportación del sistema de archivos A para permitir el acceso de READ_WRITE al cliente A, que está asignado al bloque de CIDR 10.0.0.0/24. El cliente B y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.

PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.0.0.0/24",
          "requirePrivilegedSourcePort": true,
          "access": "READ_WRITE",
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Configure las opciones de exportación del sistema de archivos B para permitir el acceso de READ_WRITE solo al cliente B, que está asignado al bloque de CIDR 10.1.1.0/24. El cliente A y el cliente C no están incluidos en este bloque de CIDR y no pueden acceder al sistema de archivos.

PUT/<Current_API_Version>/exports/<File_System_B_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.1.1.0/24",
          "requirePrivilegedSourcePort": true,
          "access": "READ_WRITE",
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Limitación de la capacidad de escribir datos

Proporcione datos a los clientes para que los utilicen, pero no les permita actualizarlos.

Por ejemplo, desea publicar un conjunto de recursos en el sistema de archivos A para que una aplicación pueda utilizarlo, pero no cambiarlo. La aplicación se conecta desde la dirección IP 10.0.0.8.

Defina la dirección IP de origen 10.0.0.8 en Solo lectura en la exportación del sistema de archivos A. Opciones de exportación del sistema de archivos A:
- Origen: 10.0.0.8
- Puertos: Con privilegios
- Acceso: Solo lectura
- Squash: Ninguno

Configure la dirección IP de origen 10.0.0.8 en READ_ONLY en la exportación del sistema de archivos A:

oci fs export update --export-id <File_System_A_export_OCID> --export-options '[{"source":"10.0.0.8","require-privileged-source-port":"true","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'

Configure la dirección IP de origen 10.0.0.8 en READ_ONLY en la exportación del sistema de archivos A:

PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.0.0.8",
          "requirePrivilegedSourcePort": true,
          "access": "READ_ONLY",
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Mejora de la seguridad del sistema de archivos

Para aumentar la seguridad, le gustaría limitar los privilegios del usuario root al conectarse al sistema de archivos A. Use el squash de identidad para reasignar usuarios raíz a UID/GID 65534. En los sistemas similares a Unix, esta combinación de UID/GID está reservada para " nobody"', un usuario sin privilegios del sistema.

Opciones de exportación del sistema de archivos A:
- Origen: 0.0.0.0
- Puertos: Con privilegios
- Acceso: Lectura/Escritura
- Squash: Raíz
- UID: 65534
- GID: 65534

oci fs export update --export-id <File_System_A_export_OCID> --export-options '[{"source":"0.0.0.0/0","require-privileged-source-port":"true","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'

Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la referencia de comandos de la CLI.

PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "0.0.0.0/0",
          "requirePrivilegedSourcePort": true,
          "access": "READ_WRITE",
          "identitySquash": "ROOT",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Consejo

Si no desea que un sistema de archivos sea visible para cualquier cliente, puede configurar todas las propiedades de la matriz exportOptions con valores vacíos. Por ejemplo:

{
   "exportOptions": [
     {
      "source":"",
      "requirePrivilegedSourcePort":"",
      "access": "",
      "identitySquash":""}        
]

Uso de Kerberos para la autenticación

Para aumentar la seguridad, desea requerir la autenticación de Kerberos con integridad de datos y privacidad de datos (cifrado en tránsito) al conectarse al sistema de archivos A desde el bloque CIDR 10.0.0.0/24. Utilice Acceso anónimo para eliminar usuarios que no se encuentran con la consulta LDAP para continuar con el UID y el GID especificados y sin grupos secundarios.

Active la autenticación de Kerberos para el sistema de archivos A y, a continuación, defina las opciones de exportación.

Ejemplo de la consola

Ejemplo de la CLI

oci fs export update --export-id <File_System_A_export_OCID> --export-options '[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","allowedAuth":"KRB5P","isAnonymousAccessAllowed":"true","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'

Nota

La exportación también debe tener --is-idmap-groups-for-sys-auth definido en true.

Ejemplo de la API

PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.0.0.0/24",
          "requirePrivilegedSourcePort": false,
          "access": "READ_WRITE",
          "allowedAuth": "KRB5P",
          "isAnonymousAccessAllowed": true,
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Nota

La exportación también debe tener isIdmapGroupsForSysAuth definido en true.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.

Para administradores: la política Permitir que los usuarios creen, gestionen y supriman sistemas de archivos permite a los usuarios gestionar opciones de exportación NFS.

Si no está familiarizado con las políticas, consulte Gestión de dominios de identidad y Políticas comunes.

Documentación de Oracle Cloud Infrastructure Probar cuenta gratuita

Trabajar con exportaciones y opciones de exportación NFS

Visión general 🔗

Exportaciones 🔗

Opciones de exportación NFS 🔗

Escenarios típicos de control de acceso 🔗

Control de acceso basado en host 🔗

Limitación de la capacidad de escribir datos 🔗

Mejora de la seguridad del sistema de archivos 🔗

Uso de Kerberos para la autenticación 🔗

Política de IAM necesaria 🔗

Documentación de Oracle Cloud Infrastructure
Probar cuenta gratuita