Options d'export pour File Storage
Sur Compute Cloud@Customer, les options d'export NFS vous permettent de créer un contrôle d'accès plus granulaire que possible à l'aide de règles de liste de sécurité pour limiter l'accès VCN. Vous pouvez utiliser les options d'export NFS afin de définir des niveaux d'accès selon l'adresse IP ou selon le blocs CIDR se connectant aux systèmes d'exploitation par le biais d'exports dans une cible d'installation. L'accès peut être limité de sorte que les systèmes de fichiers du client soient inaccessibles et invisibles pour Les autres, ce Qui permet un meilleur contrôle la sécurité dans les environnements colocatives.
A l'aide des contrôles d'accès de l'options d'export NFS, vous pouvez limiter la capacité des clients à se connecter au système des fichiers, et afficher ou écrire les données. Par exemple, si vous voulez que les clients utilisent les ressources sans les mettre à jour, vous pouvez définir un accès en lecture seule pour les clients. Vous pouvez également réduire l'accès racine client à vos systèmes d' fichiers et faire coïncider les ID utilisateur (UID) et les ID de groupe (GID) indiqués avec un UID/GID anonyme unique de votre choix.
Options d'export
Les exports contrôlent la manière dont les clients NFS accèdent aux systèmes de fichiers lors de la connexion à une cible de montage. Les systèmes de fichiers sont exportés (mis à disposition) via des cibles de montage.
Les options d'export NFS sont un ensemble de paramètres dans l'export qui indiquent le niveau d'accès accordé aux clients NFS lorsqu'ils se connectent à une cible de montage. Au sein d'un export, une entrée d'options d'export NFS peut définir l'accès à une adresse IP unique ou à une plage de blocs CIDR. Vous pouvez avoir jusqu'à 100 options par système de fichiers.
Chaque adresse IP ou bloc CIDR client distinct pour lequel vous souhaitez définir l'accès nécessite une entrée d'options d'export distincte dans l'export. Par exemple, si vous souhaitez définir des options pour les adresses IP de client NFS 10.0.0.6, 10.0.0.08 et 10.0.0.10, vous devez créer trois entrées séparées, une pour chaque adresse IP.
Lorsque plusieurs exports utilisent le même système de fichiers et la même cible de montage, les options d'export appliquées à une instance sont les options dont la source correspond le plus étroitement à l'adresse IP de l'instance. La correspondance la plus petite (la plus spécifique) est prioritaire dans tous les exports. Par conséquent, vous pouvez déterminer les options d'export qui sont appliquées à une instance en examinant la valeur source de tous les exports.
Par exemple, prenons les deux entrées d'options d'export suivantes permettant l'accès à un export :
Entrée 1 : source : 10.0.0.8/32, accès : lecture/écriture
Entrée 2 : source : 10.0.0.0/16, accès : lecture uniquement
Dans ce cas, les clients qui se connectent à l'export à partir de l'adresse IP 10.0.0.8 disposent d'un accès en lecture/écriture. Lorsqu'il existe plusieurs options d'export, la correspondance la plus spécifique est appliquée.
Lorsque plusieurs systèmes de fichiers sont exportés vers la même cible de montage, vous devez d'abord exporter vers la cible de montage avec le plus petit réseau (numéro CIDR le plus grand). Pour plus d'informations et d'instructions, reportez-vous au document My Oracle Support Doc ID 2823994.1.
Ces systèmes peuvent être associés à des exports, contenus dans des cibles de montage.
Si l'adresse IP source du client ne correspond à aucune entrée de la liste pour un export unique, alors cet export n'est pas visible pour le client. Toutefois, il est possible d'accéder au système de fichiers via d'autres exports sur les mêmes cibles ou sur d'autres cibles de montage. Pour refuser totalement l'accès client à un système de fichiers, assurez-vous que l'adresse IP ou le bloc CIDR source du client n'est inclus dans aucun export pour toute cible de montage associée au système de fichiers.
Pour plus d'informations sur la configuration des options d'export pour différents scénarios de partage de fichiers, reportez-vous à la section NFS Access Control Scenarios.
Pour plus d'informations sur la configuration des options d'export, reportez-vous à la section intitulée Définition des options d'export NFS.
Valeurs par défaut des options d'exportation NFS
Lorsque vous créez des systèmes de fichiers et les exportez, les options d'export NFS de ce système sont définies sur les valeurs par défaut suivantes, qui permettent un accès complet à toutes les connexions source du client NFS. Vous devez modifier ces valeurs par défaut si vous souhaitez restreindre l'accès :
Remarque : lorsque vous utilisez l'interface de ligne de commande pour définir les options d'export, si vous définissez les options avec un tableau vide (aucune option spécifiée), l'export n'est accessible à aucun client.
| Option d'export dans la console | Option d'export dans la CLI | Valeur par défaut | Description |
|---|---|---|---|
| Source: |
|
0.0.0.0/0 |
Adresse IP ou bloc CIDR d'un client NFS connecté. |
| Ports : |
|
Tout |
Toujours défini sur :
|
| Accès : |
|
Lecture/écriture |
Indique l'accès client NFS source. Peut être défini sur l'une des valeurs ci-dessous :
|
| Squash : |
|
Aucun |
Détermine si l'ID utilisateur (UID) et l'ID de groupe (GID) des clients accédant au système de fichier en tant qu'utilisateur root sont de nouveau mis en correspondance avec l'UID et l'ID de groupe (GID). Les valeurs possibles sont les suivantes :
|
| UID/GID de squash : |
|
65 534 |
Ce paramètre est utilisé avec l'option Rassemblement. Lors du remappage d'un utilisateur root, vous pouvez utiliser ce paramètre pour remplacer la valeur par défaut d'anonymous anonymousUid et anonymousGid par l'ID utilisateur de votre choix. |
Scénarios de contrôle d'accès NFS
Sur Compute Cloud@Customer, découvrez différentes façons de contrôler l'accès NFS en examinant certains scénarios.
- Scénario A : contrôle de l'accès basé sur l'hôte : fournit un environnement géré pour deux clients. Les clients partagent une cible de montage, mais ils possèdent chacun leur propre système de fichiers et ne peuvent pas accéder aux données de l'autres.
- Scénario B : Limiter la possibilité d'écrire des données : fournit des données aux clients pour consommation, mais ne leur permet pas de mettre à jour les données.
- Scénario C : amélioration de la sécurité du système de fichiers : augmente la sécurité en limitant les privilèges de l'utilisateur root lors de la connexion à un système de fichiers.
Scénario A : contrôle d'accès basé sur l'hôte
Sur Compute Cloud@Customer, fournissez un environnement hébergé géré pour deux clients. Les clients partagent une cible de montage, mais ils possèdent chacun leur propre système de fichiers et ne peuvent pas accéder aux données de l'autre.
Par exemple :
-
Le client A, affecté au bloc CIDR 10.0.0.0/24, requiert un accès en lecture/ écriture au système des fichiers A, mais pas à ce système.
-
Le client B, affecté au bloc CIDR 10.1.1.0/24, requiert un accès en lecture/ écriture au système des fichiers B, mais pas à ce système.
-
Le client C, affecté au bloc CIDR 10.2.2.0/24, n'a aucun accès au système de fichiers A et B.
-
Les systèmes d'exploitation A et B sont associés avec une seule cible de montage, MT1. Chaque système de fichiers dispose d'un export contenu dans l'ensemble d'éléments d'export de MT1.
Etant donné que les clients A et B accèdent à une cible de montage à partir de blocs CIDR différents, vous pouvez définir les options de client pour les deux exports de systèmes de fichiers afin que l'accès à un seul bloc CIDR soit autorisé. L'accès au client C est refusé en excluant son adresse IP ou le bloc CIDR des options d'export NFS pour tout export de systèmes de fichiers.
Exemple avec la console
Définissez les options d'export pour le système de fichiers A de manière à autoriser l'accès en lecture/ écriture uniquement au client A, qui est affecté au bloc CIDR 10.0.0.0/24. Le client B et Le client C ne sont ni inclus dans ce bloc CIDR, ni ne peuvent donc accéder au système de fichiers.
Pour savoir comment accéder aux options d'export NFS dans la console, reportez-vous à Définition des options d'export NFS.
| Source | Ports | Accès | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.0.0.0/24 | Tout | Lecture/écriture | Aucun | (non utilisé) |
Définissez les options d'export pour le système De fichiers B de manière à autoriser l'accès en lecture/ écriture uniquement au client B, qui est affecté au bloc CIDR 10.1.1.0/24. Le client A et Le client C ne sont ni inclus dans ce bloc CIDR ni ne peuvent donc accéder au système de fichiers.
| Source | Ports | Accès | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.1.1.0/24 | Tout | Lecture/écriture | Aucun | (non utilisé) |
Exemple avec l'interface de ligne de commande
Pour savoir comment accéder aux options d'export NFS dans l'interface de ligne de commande, reportez-vous à Définition des options d'export NFS.
Définissez les options d'export pour le système de fichiers A de manière à autoriser l'accès Read_Write uniquement au client A, qui est affecté au bloc CIDR 10.0.0.0/24. Le client B et Le client C ne sont ni inclus dans ce bloc CIDR, ni ne peuvent donc accéder au système de fichiers.
oci fs export update --export-id <File_system_A_export_ID> --export-options \
'[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Définissez les options d'export pour le système de fichiers B de manière à autoriser l'accès Read_Write uniquement au client B, qui est affecté au bloc CIDR 10.1.1.0/24. Les clients A et C ne sont pas inclus dans ce bloc CIDR et ne sont pas autorisés à accéder au système de fichiers.
oci fs export update --export-id <File_system_B_export_ID> --export-options \
'[{"source":"10.1.1.0/24 ","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'Scénario B : limiter la capacité à écrire des données
Sur Compute Cloud@Customer, fournissez les données aux clients pour consommation, mais ne les autorisez pas à les mettre à jour.
Par exemple, vous souhaitez publier un ensemble de ressources dans le système de fichiers A pour qu'une application les utilise, mais sans les modifier. L'application se connecte à partir de l'adresse IP 10.0.0.8.
Exemple avec la console
Définissez l'adresse IP source 10.0.0.8 sur lecture seule dans l'export du Système de fichiers A :
Pour savoir comment accéder aux options d'export NFS dans la console, reportez-vous à Définition des options d'export NFS.
| Source | Ports | Accès | Squash | UID/GID de squash |
|---|---|---|---|---|
| 10.0.0.8 | Tout | Lecture seule | Aucun | (non utilisé) |
Exemple avec l'interface de ligne de commande
Pour savoir comment accéder aux options d'export NFS dans l'interface de ligne de commande, reportez-vous à Définition des options d'export NFS.
Définissez l'adresse IP source 10.0.0.8 sur READ_ONLY dans l'export du réseau de fichiers A :
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"10.0.0.8","require-privileged-source-port":"false","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'Scénario C : améliorer la sécurité du système de fichiers
Sur Compute Cloud@Customer, pour améliorer la sécurité, vous pouvez limiter les privilèges de l'utilisateur root lors de la connexion au système de fichiers A. Utilisez le Rassemblement d'identités pour mettre à nouveau en correspondance les utilisateurs racine avec UID/GID 65534.
Dans les systèmes de type UNIX, cette combinaison UID/GID est réservée pour 'nobody', un utilisateur qui ne disposerait d'aucun privilège système.
Exemple avec la console
Définissez l'adresse IP source 10.0.0.8 sur lecture seule dans l'export du Système de fichiers A :
Pour savoir comment accéder aux options d'export NFS dans la console, reportez-vous à Définition des options d'export NFS.
| Source | Ports | Accès | Squash | UID/GID de squash |
|---|---|---|---|---|
| 0.0.0.0/0 | Tout | Lecture/écriture | Racine | 65 534 |
Exemple avec l'interface de ligne de commande
Pour savoir comment accéder aux options d'export NFS dans l'interface de ligne de commande, reportez-vous à Définition des options d'export NFS.
oci fs export update --export-id <File_System_A_export_OCID> --export-options \
'[{"source":"0.0.0.0/0","require-privileged-source-port":"false","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'