2 Bronze

マルチプロトコル環境&NFSv4利用のアクセスポリシー

こんにちは

VNX5300にてマルチプロトコルでNFSv4利用+UNIXパーミッションのみ利用するときの

アクセスポリシーについて質問です。

VNX5300を新規構築しております。

既存環境から新しくVNX5300にデータ移行するのですが、VNX側の

ファイルシステムのアクセスポリシーの設定をどれにすれば良いか困っています。。

◎既存環境

・NetappでCIFS/NFSのマルチプロトコルで使用

・NFSはv3

・アクセス権はUnixモードで使用。

・CIFS/NFSからのアクセスはUNIXパーミッションのみ参照する。WindowsからもCIFS ACLは参照不要。

 

◎新規環境

・新しいシステムの為にNFSv4を使用。

・既存環境と同様、VNX5300もCIFS/NFSのマルチプロトコル環境利用。

・アクセス権の参照方法はできるだけ既存環境と同じ、Unixパーミッションのみで管理したい。CIFS ACLは参照不要。

・データ移行はUNIXのrsyncで実施(パーミッションも含めてコピー)CIFS ACL情報は失われてもOK。

◎質問

 1.新規環境での要件を満たす為にはマウントのaccesspolicyはどれを選べば良いでしょうか?

   マニュアル「VNXでのマルチプロトコル環境の管理」を読むと

   [NFSv4」の場合は「MIXEDまたはMIXED_COMPAT」と記載があります。

   今回はCIFSのACLは参照や管理はせず、アクセス権の制御はすべてUNIXパーミッションを利用します。

  この2つの設定、どちらかを設定すべきでしょうか?

    あるいは、ACL制御不要であればNATIVEでも良いのでしょうか?

 2.rsyncでデータ移行したときのパーミッションについて

  VNXへコピーされた時点で「権限の変更(設定)」として扱われるのでしょうか。

  (MIXED_COMPATの動きで、次に参照されるアクセス権がUNIXパーミッションになるかどうかのご確認)

    

 3.2の続きです。コピー元のファイルシステムのaccesspolicyがMIXED_COMPATの場合は

  UNIXパーミッションを参照してCIFS ACLも作成されると思いますが、、、

  この場合でも、最後に権限を変更(設定)された側はUNIX パーミッションの扱いになるのでしょうか?

  

以上、宜しくお願い致します。

ラベル(1)
0 件の賞賛
4 返答(返信)
モデレーター
モデレーター

Re: マルチプロトコル環境&NFSv4利用のアクセスポリシー

bosspan29さん

記載頂いた情報から、

・rsyncでデータ移行=現環境のACLは消滅=新環境ではACLは一切無視する必要がある

・よって、WindowsユーザがアクセスしてもVNX側でACLをチェックしないアクセスポリシーはどれか?

という理解をしました。

質問1のアクセスポリシーについてですが、MIXED_COMPAT以外のアクセスポリシーだとCIFS経由のアクセスの場合、必ずACLをチェックします。しかし、これでbosspan29さんが移行されようとしている環境の要件を満たすのかは微妙かもしれません。

もし、MIXED_COMPATにした場合、CIFSユーザが新規でファイルを作成すると、そのファイルに対してはNFSユーザもACLでアクセス制御されてしまいます。仮に、CIFSユーザはRead Onlyという運用であれば、MIXED_COMPATでも要件を満たせるだろうと思います。

と、少しbosspan29さんのご要望の設定からは外れてきてしまったのですが、私がコメント出来るのはこれが限界です。。。

実際にNetappからVNXの移行を同条件(もしくは似た条件)で実施された方がいらっしゃったら是非コメント/情報共有をお願いします!

3 Zinc

Re: マルチプロトコル環境&NFSv4利用のアクセスポリシー

このような複雑なストレージ要件の土俵に乗れるのがVNXの良いところです。

但し、ややイレギュラーな構成ですので、要件を分解して一つづつ確認、検証していくがオススメです。

例:

1. アクセスポリシー 

2. ユーザーマッピング

3. NFSv4

4. データ移行

アクセスポリシーはUNIXパーミッションで制御であれば、UNIXとし、windowsACLはeveryone full から。

ユーザーマッピングはpasswdファイルから。

NFSv4はACL使わないとすると、導入の期待値は何でしょうか?

データ移行は上記が決まってから検討した方が出戻りが少ないです。

support.emc.comにあるマルチプロコル、ユーザーマッピング等の資料は目を通す必要があります。

上記が手間であれば、EMCの導入サービスも検討下さい。

2 Bronze

Re: Re: マルチプロトコル環境&NFSv4利用のアクセスポリシー

mihoさん、 ご返信有難うございます。

私もわまり出会ったことの無い、イレギュラーな環境でしたが、期限まで時間も無かったので mixed_compatで設定致しました。

アクセスポリシーだけを考えればUNIXですが、NFSv4があるので、MIXED...のアクセス権を選択致しました。

おっしゃるとおり、それぞれの要件を一つずつ確認&検証して対応したいところですね。

情報ありがとうございました。

0 件の賞賛
2 Bronze

Re: マルチプロトコル環境&NFSv4利用のアクセスポリシー

Uehara Y.さんご回答ありがとうございました。

・rsyncでデータ移行=現環境のACLは消滅=新環境ではACLは一切無視する必要がある

・よって、WindowsユーザがアクセスしてもVNX側でACLをチェックしないアクセスポリシーはどれか?

という理解をしました。

そうですね。基本運用はUNIX側しかパーミッションを設定・管理しないので、

WIndowsユーザがアクセスしてもACLはチェックしない、もしくはACLをチェックしたとしてもUNIXパーミッションとACLが

常に同じであれば問題なしです。

質問1の件ですが、マルチプロトコル環境でUNIXのパーミッションもチェックしてくれるのは、やはりMIXED_COMPATしかないのかな、、というところで、結局、MIXED_COMPATで設定することにしました。

もし、MIXED_COMPATにした場合、CIFSユーザが新規でファイルを作成すると、そのファイルに対してはNFSユーザもACLでアクセス制御されてしまいます。仮に、CIFSユーザはRead Onlyという運用であれば、MIXED_COMPATでも要件を満たせるだろうと思います。

問題は、この環境で「CIFSユーザが新規でファイルを作成した時」なのですが、この時に「ACLでアクセス制御されない方法」またはこの「CIFSでファイルを新規作成したときにUNIXパーミッションが反映される」ことが出来ないか、、と思いました。

CIFSユーザがReadOnlyということは今の環境では考えていません。

 

 

ところで、

「VNX マルチプロトコルの管理」(300-013-805) を拝見いたしました。

p26-27の「「表7. MIXEDおよびMIXED_COMPATの継承ルール」で気になるところがありました。(以下)

邯呎価繝ォ繝シ繝ォ.jpg

この情報を読んで、親ディレクトリのセキュリティアクセス権にてACLを継承できないようにしてあげれば、Windowsから作成したファイルはUNIXパーミッションになってくれるのではないかと単純に考えたのですが、そのような解釈であっていますでしょうか?

それができるならば、Windows側からVNXの共有パスのフォルダ(親)のセキュリティアクセス権の設定で

ACLを継承しないように、ACLの適用範囲は「このフォルダのみ」にしてあげれば、作成されたファイルはACLを親から引き継がずに、UNIXのパーミッションでACLが作成されないでしょうか?

(検証環境が無いので試してはいないのですが・・・)

宜しくお願い致します。

0 件の賞賛