未解決
この投稿は5年以上前のものです
29 メッセージ
0
1081
マルチプロトコル環境&NFSv4利用のアクセスポリシー
こんにちは
VNX5300にてマルチプロトコルでNFSv4利用+UNIXパーミッションのみ利用するときの
アクセスポリシーについて質問です。
VNX5300を新規構築しております。
既存環境から新しくVNX5300にデータ移行するのですが、VNX側の
ファイルシステムのアクセスポリシーの設定をどれにすれば良いか困っています。。
◎既存環境
・NetappでCIFS/NFSのマルチプロトコルで使用
・NFSはv3
・アクセス権はUnixモードで使用。
・CIFS/NFSからのアクセスはUNIXパーミッションのみ参照する。WindowsからもCIFS ACLは参照不要。
◎新規環境
・新しいシステムの為にNFSv4を使用。
・既存環境と同様、VNX5300もCIFS/NFSのマルチプロトコル環境利用。
・アクセス権の参照方法はできるだけ既存環境と同じ、Unixパーミッションのみで管理したい。CIFS ACLは参照不要。
・データ移行はUNIXのrsyncで実施(パーミッションも含めてコピー)CIFS ACL情報は失われてもOK。
◎質問
1.新規環境での要件を満たす為にはマウントのaccesspolicyはどれを選べば良いでしょうか?
マニュアル「VNXでのマルチプロトコル環境の管理」を読むと
[NFSv4」の場合は「MIXEDまたはMIXED_COMPAT」と記載があります。
今回はCIFSのACLは参照や管理はせず、アクセス権の制御はすべてUNIXパーミッションを利用します。
この2つの設定、どちらかを設定すべきでしょうか?
あるいは、ACL制御不要であればNATIVEでも良いのでしょうか?
2.rsyncでデータ移行したときのパーミッションについて
VNXへコピーされた時点で「権限の変更(設定)」として扱われるのでしょうか。
(MIXED_COMPATの動きで、次に参照されるアクセス権がUNIXパーミッションになるかどうかのご確認)
3.2の続きです。コピー元のファイルシステムのaccesspolicyがMIXED_COMPATの場合は
UNIXパーミッションを参照してCIFS ACLも作成されると思いますが、、、
この場合でも、最後に権限を変更(設定)された側はUNIX パーミッションの扱いになるのでしょうか?
以上、宜しくお願い致します。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
1
2014年2月20日 22:00
bosspan29さん
記載頂いた情報から、
・rsyncでデータ移行=現環境のACLは消滅=新環境ではACLは一切無視する必要がある
・よって、WindowsユーザがアクセスしてもVNX側でACLをチェックしないアクセスポリシーはどれか?
という理解をしました。
質問1のアクセスポリシーについてですが、MIXED_COMPAT以外のアクセスポリシーだとCIFS経由のアクセスの場合、必ずACLをチェックします。しかし、これでbosspan29さんが移行されようとしている環境の要件を満たすのかは微妙かもしれません。
もし、MIXED_COMPATにした場合、CIFSユーザが新規でファイルを作成すると、そのファイルに対してはNFSユーザもACLでアクセス制御されてしまいます。仮に、CIFSユーザはRead Onlyという運用であれば、MIXED_COMPATでも要件を満たせるだろうと思います。
と、少しbosspan29さんのご要望の設定からは外れてきてしまったのですが、私がコメント出来るのはこれが限界です。。。
実際にNetappからVNXの移行を同条件(もしくは似た条件)で実施された方がいらっしゃったら是非コメント/情報共有をお願いします!
mihon
399 メッセージ
1
2014年2月24日 17:00
このような複雑なストレージ要件の土俵に乗れるのがVNXの良いところです。
但し、ややイレギュラーな構成ですので、要件を分解して一つづつ確認、検証していくがオススメです。
例:
1. アクセスポリシー
2. ユーザーマッピング
3. NFSv4
4. データ移行
アクセスポリシーはUNIXパーミッションで制御であれば、UNIXとし、windowsACLはeveryone full から。
ユーザーマッピングはpasswdファイルから。
NFSv4はACL使わないとすると、導入の期待値は何でしょうか?
データ移行は上記が決まってから検討した方が出戻りが少ないです。
support.emc.comにあるマルチプロコル、ユーザーマッピング等の資料は目を通す必要があります。
上記が手間であれば、EMCの導入サービスも検討下さい。
bosspan29
29 メッセージ
0
2014年3月2日 21:00
mihoさん、 ご返信有難うございます。
私もわまり出会ったことの無い、イレギュラーな環境でしたが、期限まで時間も無かったので mixed_compatで設定致しました。
アクセスポリシーだけを考えればUNIXですが、NFSv4があるので、MIXED...のアクセス権を選択致しました。
おっしゃるとおり、それぞれの要件を一つずつ確認&検証して対応したいところですね。
情報ありがとうございました。
bosspan29
29 メッセージ
0
2014年3月2日 21:00
Uehara Y.さんご回答ありがとうございました。
そうですね。基本運用はUNIX側しかパーミッションを設定・管理しないので、
WIndowsユーザがアクセスしてもACLはチェックしない、もしくはACLをチェックしたとしてもUNIXパーミッションとACLが
常に同じであれば問題なしです。
質問1の件ですが、マルチプロトコル環境でUNIXのパーミッションもチェックしてくれるのは、やはりMIXED_COMPATしかないのかな、、というところで、結局、MIXED_COMPATで設定することにしました。
問題は、この環境で「CIFSユーザが新規でファイルを作成した時」なのですが、この時に「ACLでアクセス制御されない方法」またはこの「CIFSでファイルを新規作成したときにUNIXパーミッションが反映される」ことが出来ないか、、と思いました。
CIFSユーザがReadOnlyということは今の環境では考えていません。
ところで、
「VNX マルチプロトコルの管理」(300-013-805) を拝見いたしました。
p26-27の「「表7. MIXEDおよびMIXED_COMPATの継承ルール」で気になるところがありました。(以下)
この情報を読んで、親ディレクトリのセキュリティアクセス権にてACLを継承できないようにしてあげれば、Windowsから作成したファイルはUNIXパーミッションになってくれるのではないかと単純に考えたのですが、そのような解釈であっていますでしょうか?
それができるならば、Windows側からVNXの共有パスのフォルダ(親)のセキュリティアクセス権の設定で
ACLを継承しないように、ACLの適用範囲は「このフォルダのみ」にしてあげれば、作成されたファイルはACLを親から引き継がずに、UNIXのパーミッションでACLが作成されないでしょうか?
(検証環境が無いので試してはいないのですが・・・)
宜しくお願い致します。