יצירת מכונת Filestore עם שירות מנוהל ל-Microsoft AD

יוצרים מופע Filestore שמשתמש בפרוטוקול NFSv4.1 עם שירות מנוהל ל-Microsoft AD.

לפני שמתחילים

לפני שיוצרים מופע חדש של Filestore, צריך לוודא שיש לכם מספיק מכסת אחסון. מכסת המופעים משתנה בהתאם למיקום האזור ולרמת השירות שבהם רוצים להשתמש. כדי להגדיל את המכסה הזמינה, צריך לשלוח בקשה להגדלת המכסה.

יצירת דומיין של שירות מנוהל ל-Microsoft AD

אם רוצים להשתמש בשירות מנוהל ל-Microsoft AD עם מופע Filestore, צריך ליצור את הדומיין של שירות מנוהל ל-Microsoft AD לפני מופע Filestore.

  1. גם דומיין שירות מנוהל ל-Microsoft AD וגם מופע Filestore צריכים להשתמש באותו VPC באותו פרויקט.

    אם שירות מנוהל ל-Microsoft AD מתארח בפרויקט נפרד ממופע Filestore שבו רוצים להשתמש, צריך ליצור שיוך בין רשת ה-VPC של Filestore לבין הדומיין של שירות מנוהל ל-Microsoft AD.

    מידע נוסף זמין במאמר פריסת שירות מנוהל ל-Microsoft AD עם גישה בין פרויקטים באמצעות שיוך דומיינים.

  2. משלימים את כל שלבי ההגדרה כדי ליצור מופע Filestore.

  3. מוודאים שהשדות POSIX RFC 2307 ו-RFC 2307bis מלאים עבור משתמשי שירות מנוהל ל-Microsoft AD, כמו בדוגמה הבאה.

    מידע נוסף על הגדרת אובייקטים בשירות מנוהל ל-Microsoft AD זמין במאמר אובייקטים ב-Managed Active Directory.

    משתמשים ומחשבים ב-Active Directory

    בשלבים הבאים מפורטים המאפיינים שצריך להגדיר למשתמשים ולקבוצות ב-LDAP. אפשר לנהל מאפייני POSIX באמצעות התוסף Active Directory Users and Computers של MMC.

    פותחים את הכלי לעריכת מאפיינים באופן הבא:

    1. לוחצים על התחלה.

    2. לוחצים על Windows Administrative Tools (כלי ניהול של Windows) ובוחרים באפשרות Active Directory Users and Computers (משתמשים ומחשבים ב-Active Directory).

      נפתח החלון משתמשים ומחשבים ב-Active Directory.

    3. בוחרים את שם הדומיין שרוצים לראות. כדי להרחיב את התוכן, לוחצים על החץ להרחבה.

    4. בתפריט View (תצוגה) של Active Directory Users and Computers, בוחרים באפשרות Advanced Features (תכונות מתקדמות).

    5. בחלונית הימנית, לוחצים פעמיים על משתמשים.

    6. ברשימת המשתמשים, לוחצים פעמיים על משתמש כדי לראות את הכרטיסייה עורך המאפיינים שלו.

      צריך להגדיר למשתמשי LDAP את המאפיינים הבאים:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      לכל משתמש צריך להיות uidNumber ייחודי. שימו לב שהערך של המאפיין uid הוא תלוי אותיות רישיות. עבור מאפיין objectClass, ההגדרה שמוגדרת כברירת מחדל ברוב הפריסות של Active Directory‏ (AD) היא user. לדוגמה:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      צריך להגדיר את המאפיינים הבאים לקבוצות LDAP:

      • cn
      • gidNumber
      • objectClass

      לכל קבוצה צריך להיות ערך ייחודי של gidNumber. שימו לב שהערך של המאפיין cn הוא תלוי אותיות רישיות. עבור מאפיין objectClass, ההגדרה שמוגדרת כברירת מחדל ברוב הפריסות של AD היא group. דוגמה:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. כדי להעניק ל-Filestore גישה ליצירה ולניהול של אובייקטים בשירות מנוהל ל-Microsoft AD, משתמשים בפקודה gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    מחליפים את מה שכתוב בשדות הבאים:

    • MANAGED_MICROSOFT_AD_PROJECT_ID הוא מזהה הפרויקט שבו נמצא הדומיין של שירות מנוהל ל-Microsoft AD.
    • PROJECT_ID הוא מזהה הפרויקט שבו נמצא מופע Filestore.

    יכול להיות שתופיע שגיאה שדומה לזו:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    אם כן, משתמשים בפקודה הבאה כדי לפתור את הבעיה:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

יצירת מכונת Filestore עם שירות מנוהל ל-Microsoft AD

מסוף Google Cloud

הגדרת פרמטרים של המופע

  1. נכנסים לדף Filestore instances במסוף Google Cloud .

    כניסה לדף Filestore instances

  2. לוחצים על Create Instance.

  3. מציינים את הפרמטרים הבסיסיים של המופע:

    1. בשדה Instance ID, מזינים את השם שרוצים להשתמש בו עבור מופע Filestore.

    2. בקטע Instance Type, בוחרים באפשרות Regional או Zonal.

      כדי ליצור מופע ארגוני, צריך להריץ פעולות ישירות דרך Filestore API.

    3. בקטע קיבולת מוקצית, מזינים את הקיבולת שרוצים להשתמש בה. צריך להזין ערך בין 1 TB ל-10 TB, במרווחים של 256 GiB ‏ (0.25 TiB).

    4. בקטע אזור, בוחרים את האזור שרוצים להשתמש בו.

    5. בקטע VPC Network, בוחרים את הרשת שרוצים להשתמש בה עבור מופע Filestore ולקוחות NFS.

      • אם שירות מנוהל ל-Microsoft AD נמצא באותו פרויקט כמו מופע Filestore, צריך לאשר את רשת ה-VPC בדומיין שירות מנוהל ל-Microsoft AD.
      • אם שירות מנוהל ל-Microsoft AD נמצא בפרויקט נפרד, צריך להגדיר את רשת VPC עם שיוך רשת Active Directory בהגדרות של שירות מנוהל ל-Microsoft AD.

    6. בקטע Allocated IP range (טווח כתובות IP שהוקצה), בוחרים באפשרות Use an automatically allocated IP range (recommended) (שימוש בטווח כתובות IP שהוקצה באופן אוטומטי (מומלץ)).

    7. בקטע פרוטוקול, בוחרים באפשרות NFSv4.1.

הגדרת הגדרות האימות של המופע

  1. מגדירים את הגדרות האימות של המופע.
    1. לוחצים על אימות.
    2. בוחרים את הפרויקט שמארח את Managed Microsoft AD. לצורך המדריך הזה, נניח שהפרויקט הנוכחי הוא הפרויקט שבו אנחנו רוצים להשתמש. ברשימה Join an Active Directory domain (הצטרפות לדומיין של Active Directory), בוחרים את שירות מנוהל ל-Microsoft AD שרוצים להשתמש בו.
    3. בשדה Computer account name, מזינים את שם חשבון המחשב שבו רוצים להשתמש כדי לזהות את מופע Filestore בשירות מנוהל ל-Microsoft AD. השם מוגבל ל-15 תווים אלפאנומריים.
    4. בשדה File share name (שם שיתוף הקבצים), מזינים את שם השיתוף כפי שהוא ישמש את לקוחות NFSv4.1.

  2. בחלונית Access Control (בקרת גישה), מבצעים את אחד מהשלבים הבאים:

    • אם משתמשים בשירות מנוהל ל-Microsoft AD, בוחרים באפשרות הגבלת הגישה לפי כתובת IP או טווח כתובות.

      1. מגדירים את כלל הגישה לפי כתובת IP או רשת משנה שרוצים להגדיר. לצורך המדריך הזה, משתמשים בהגדרות הבאות:
      2. בשדה כתובת IP או טווח 1, מזינים את כתובת ה-IP או את הטווח שרוצים להשתמש בהם.
      3. לוחצים על הרשימה הנפתחת גישה 1 ובוחרים באפשרות אדמין. לוחצים על הרשימה הנפתחת Mountsec= 1 ובוחרים בתיבת הסימון sys.

      בעלי ברירת המחדל של / ב-Filestore הוא root. כדי לאפשר למשתמשים ולקבוצות אחרים לגשת למופע, צריך ליצור כלל גישה שמאפשר גישה למכונה וירטואלית לניהול באמצעות התפקיד Admin והגדרת האבטחה sec=sys.

    • אם אתם לא משתמשים בשירות מנוהל ל-Microsoft AD, בוחרים באפשרות Grant access to all clients on the VPC network (הענקת גישה לכל הלקוחות ברשת ה-VPC).

      אם לא משתמשים ב-Managed Microsoft AD, הגדרת האבטחה היחידה שנתמכת היא sec=sys.

  3. לוחצים על יצירה כדי ליצור את המופע.

gcloud

  1. מתקינים ומפעילים את ה-CLI של gcloud.

    אם כבר התקנתם את ה-CLI של gcloud, מריצים את הפקודה הבאה כדי לעדכן אותו:

    gcloud components update

  2. מריצים את הפקודה gcloud beta filestore instances create כדי ליצור מכונת Filestore אזורית, אזורית או ארגונית:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    כאשר:

    • INSTANCE_ID הוא מספר המכונה של מכונת Filestore שרוצים ליצור. איך נותנים שם למכונה
    • DESCRIPTION הוא תיאור של המופע שבו רוצים להשתמש.
    • LOCATION הוא המיקום שבו רוצים שהמופע של Filestore יהיה.
    • TIER הוא רמת השירות שבה רוצים להשתמש.
    • PROTOCOL הוא NFS_v4_1.
    • FILE_SHARE_NAME הוא השם שציינתם לשיתוף קבצים ב-NFS שמוגש מהמופע.
    • CAPACITY הוא הגודל הרצוי לשיתוף הקבצים, בין 1 TiB ל-10 TiB.

    • VPC_NETWORK הוא השם של רשת ה-VPC שבה רוצים שהמופע ישתמש. בחירת רשת VPC

      • אם רוצים לציין VPC משותף מפרויקט שירות, צריך לציין את השם המלא של הרשת, בפורמט הבא:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      מציינים connect-mode=PRIVATE_SERVICE_ACCESS, בדומה לדוגמה הבאה:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID הוא מזהה הפרויקט שבו נמצא שירות מנוהל ל-Microsoft AD.

    • MANAGED_AD_DOMAIN_NAME הוא שם הדומיין של שירות מנוהל ל-Microsoft AD שבו רוצים להשתמש. בוחרים את שם הדומיין הזה כשיוצרים דומיין מנוהל של Microsoft AD.

    • DOMAIN_COMPUTER_ACCOUNT הוא שם כלשהו שרוצים לתת לאשכול בדומיין.

    • CONSUMER_PROJECT_ID הוא מזהה הפרויקט שמכיל את מופע Filestore.

    • CONNECT_MODE הוא DIRECT_PEERING או PRIVATE_SERVICE_ACCESS. אם מציינים VPC משותף בתור הרשת, צריך לציין גם את PRIVATE_SERVICE_ACCESS בתור מצב החיבור. הדגל הזה נדרש לקישור בין רשתות VPC שכנות (peering), שהוא דרישה כשמשתמשים בשירות מנוהל ל-Microsoft AD.

    • RESERVED_IP_RANGE הוא טווח כתובות ה-IP של מופע Filestore. אם מציינים connect-mode=PRIVATE_SERVICE_ACCESS ורוצים להשתמש בטווח כתובות IP שמורות, צריך לציין את השם של טווח כתובות מוקצה במקום טווח CIDR. מידע נוסף זמין במאמר בנושא הגדרת כתובת IP שמורה. מומלץ לדלג על האפשרות הזו כדי לאפשר ל-Filestore למצוא באופן אוטומטי טווח כתובות IP פנוי ולהקצות אותו למופע.

ניתוק של שירות מנוהל ל-Microsoft AD ממופע Filestore

מסוף Google Cloud

  1. ניתוק מופע Filestore שמחובר לשירות מנוהל ל-Microsoft AD.

    נכנסים לדף Filestore Instances במסוף Google Cloud .

    כניסה לדף Filestore instances

  2. לוחצים על מספר המכונה של המופע שרוצים לערוך.

  3. בחלונית NFS mount point (נקודת העמסה של NFS), בקטע Protocol (פרוטוקול), לצד Directory service name (שם שירות הספריות), לוחצים על Disconnect AD domain (ניתוק דומיין AD).

  4. בחלון Disconnect from domain failed (הניתוק מהדומיין נכשל), קוראים את ההתראה ואז לוחצים על Edit instance (עריכת המופע).

    לפחות כלל אחד בבקרת גישה צריך להיות ממופה לתפקיד אדמין עם הגדרת האבטחה של ההרכבה sys, למשל Access=Admin Mount ו-sec=sys.

  5. בחלונית Edit share, מאתרים את הכלל שבו Access מוגדר לAdmin. לוחצים על Mount sec= ... (העלאה sec= ...) ובוחרים באפשרות sys כדי להוסיף אותה להגדרה הקיימת.

  6. לוחצים על OK.

  7. לוחצים על Save.

  8. לצד שם שירות הספריות, לוחצים על ניתוק דומיין AD.

  9. בשדה בחלון האם להתנתק מהדומיין?, מזינים את שם הדומיין שממנו רוצים להתנתק.

  10. לוחצים על ניתוק.

עריכת כללי הגישה

  1. יש לרענן את הדף. שימו לב שההגדרה שם שירות הספריות מוגדרת עכשיו לללא.

  2. לוחצים על Edit.

  3. בחלונית Edit share, מאתרים כלל שקובע גישה לתפקיד שאינו Admin, כמו Editor. בכלל, לוחצים על Mount sec= ... (העלאה sec= ...) ובוחרים באפשרות sys כדי להוסיף אותו להגדרה הקיימת. לוחצים על אישור.

  4. לוחצים על Save.

  5. יש לרענן את הדף.

    הגדרות הכלל מתעדכנות.

חיבור מחדש של שירות מנוהל ל-Microsoft AD למופע Filestore

מסוף Google Cloud

  1. מחברים מחדש מכונת Filestore לשירות מנוהל ל-Microsoft AD.

    בחלונית NFS mount point (נקודת העמסה של NFS), בקטע Protocol (פרוטוקול), לצד Directory service name (שם שירות הספריות), לוחצים על Join AD domain (הצטרפות לדומיין AD).

  2. בחלון Join this instance to an Active Directory Domain (צירוף המופע הזה לדומיין של Active Directory), בוחרים באפשרות Use domains from the current project (שימוש בדומיינים מהפרויקט הנוכחי). בתפריט Join an Active Directory Domain (צירוף לדומיין של Active Directory), בוחרים את הדומיין שרוצים להשתמש בו.

  3. בתפריט Computer account name, מזינים שם.

  4. לוחצים על הצטרפות לדומיין.

  5. יש לרענן את הדף. שימו לב ששם שירות הספרייה עודכן בהתאם לבחירה שלכם.

  6. לוחצים על Edit.

  7. בחלונית Edit share, לוחצים על Mount sec= ... בכל הכללים הרלוונטיים ומבטלים את הבחירה באפשרות sys. לוחצים על אישור.

  8. לוחצים על Save.

  9. יש לרענן את הדף.

הגדרות הכלל מתעדכנות.