ファイルストレージとは?
いわゆるOSなどで利用可能なファイルシステムをOCI上で構築。
複数のインスタンスからアクセス可能な汎用的なファイルシステム。
- UNIXとWindowsに対応。
- 作成、削除、読み取り、書き込み、共有、ロック(一般的なファイルシステムと同等の機能)が利用可能。
- すべての主要なOSおよびハイパーバイザー(コンピューターを仮想化するための制御プログラム)に対応(?)(UNIXとWindowsに対応とあるが、UNIXとWindows以外でも使えるということ?)
- ソフトウェアの追加などは不要
- ネットワーク経由でアクセス可能
- 自動でスケールアウトする
- スナップショットによるファイル保護機能
- 暗号化によるセキュリティ(TLSトンネルによりマウントターゲットとインスタンス間で暗号化。oci-fss-utilsをクライアントがインストールする必要あり。)
OCIファイルストレージサービスの概念
- ファイルシステム
ストレージそのもの - エクスポート
NFSコントロールレイヤー - マウントターゲット
エクスポートのエンドポイント
ファイルストレージのセキュリティ
4つのセキュリティシステムで構成
- IAMサービス
ファイルシステムとマウントターゲットの作成、インスタンスとFSS(File System Service) VCN - ネットワーク・セキュリティ
サブネットなどを構築した際にセキュリティリストなどを定める - NFSエクスポート・オプション
ファイルシステム構築後、ファイルシステムのアクセスに関する制限 - UNIXセキュリティ
UNIXのセキュリティ。ファイルシステムに内蔵。
マウント対象
- NFSエンドポイントである(NFSで繋がる終端?)
- 3つのプライベートIPアドレスとDNS名を持つ(マウントターゲットの作成に2つ、高可用性の担保のために1つ)
CIDRを30で切ってしまうと足りなくなる(30だと4つアドレスが降られるが、ネットワークアドレス、ブロードキャストアドレス、ゲートウェイのアドレスで内部的に3つ使用するため1つしか空きがない)
スナップショットとクローン
スナップショット
ファイルストレージにはスナップショット機能がある。
.snapshotという隠れフォルダがルートフォルダは以下に作成。
クローン(クローニング)
スナップショットから新しいファイルシステムを素早く作成可能。スナップショット以下に含まれるスナップショットごとクローンを作成する。
クローンの作成に使用されたスナップショットはソースと呼ばれる。
ソースを含めたファイルシステムを親のファイルシステムと呼ぶ。
ソースからクローンを作成すると、作成時にクローンはすぐ利用できるようになり、裏でハイドレーション(メタデータのコピー)が行われる。ハイドレーション中も通常の操作を行うことができる。
同じルートファイルシステムから派生したクローンのグループをクローン・ツリーという。
クローンからクローンを作成することも可能。
コントロール・アクセス
- Oracle Cloud Infrastructure Identity and Access Management(IAM)
ポリシーにてOracle Cloud Infrastructure内でユーザーが実行できる操作(インスタンス、VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成など)を制御 - ネットワーク・セキュリティ
ファイル・システムへのアクセスを許可 - NFSエクスポート・オプション
ファイル・システムごとのアクセス制御エクスポート - NFS v.3 UNIX securityとNFS v.3 Kerberos security
ファイルおよびディレクトリの読取りや書込みなど、ユーザーがインスタンスで実行できる操作を制御