Filestore-Instanz mit Managed Microsoft AD erstellen

Erstellen Sie eine Filestore-Instanz, die das NFSv4.1-Protokoll mit Managed Microsoft AD verwendet.

Hinweise

Prüfen Sie vor dem Erstellen einer neuen Filestore-Instanz, ob Sie genügend Kontingent haben. Das Instanzkontingent hängt von der Region und der Dienststufe ab, die Sie verwenden möchten. Wenn Sie das verfügbare Kontingent erhöhen möchten, müssen Sie eine Anfrage zur Kontingenterhöhung senden.

Managed Microsoft AD-Domain erstellen

Wenn Sie Managed Microsoft AD mit einer Filestore-Instanz verwenden möchten, muss die Managed Microsoft AD-Domain vor der Filestore-Instanz erstellt werden.

  1. Sowohl die Managed Microsoft AD-Domäne als auch die Filestore-Instanz müssen im selben Projekt dieselbe VPC verwenden.

    Wenn Ihr Managed Microsoft AD-Dienst in einem anderen Projekt als die Filestore-Instanz gehostet wird, die Sie verwenden möchten, muss das Filestore-VPC-Netzwerk mit der Managed Microsoft AD-Domain per Peering verbunden sein.

    Weitere Informationen finden Sie unter Managed Microsoft AD mit projektübergreifendem Zugriff über Domain Peering bereitstellen.

  2. Führen Sie alle Einrichtungsschritte aus, um eine Filestore-Instanz zu erstellen.

  3. Achten Sie darauf, dass für Managed Microsoft AD-Nutzer die Felder POSIX RFC 2307 und RFC 2307bis wie unten dargestellt ausgefüllt sind.

    Weitere Informationen zum Konfigurieren von Objekten in Managed Microsoft AD finden Sie unter Verwaltete Active Directory-Objekte.

    Active Directory-Nutzer und -Computer

    In den folgenden Schritten wird beschrieben, welche Attribute Sie für LDAP-Nutzer und -Gruppen festlegen müssen. Sie können POSIX-Attribute mit dem MMC-Snap-in Active Directory-Nutzer und -Computer verwalten.

    So öffnen Sie den Attributeditor:

    1. Klicken Sie auf Start.

    2. Klicken Sie auf Windows-Verwaltungstools und wählen Sie Active Directory-Nutzer und -Computer aus.

      Das Fenster Active Directory-Nutzer und -Computer wird geöffnet.

    3. Wählen Sie den Domainnamen aus, den Sie aufrufen möchten. Klicken Sie zum Maximieren auf den Erweiterungspfeil.

    4. Wählen Sie im Menü Ansicht von „Active Directory-Nutzer und -Computer“ die Option Erweiterte Funktionen aus.

    5. Doppelklicken Sie im linken Bereich auf Nutzer.

    6. Doppelklicken Sie in der Nutzerliste auf einen Nutzer, um den Tab Attribut-Editor aufzurufen.

      Für LDAP-Nutzer müssen die folgenden Attribute festgelegt sein:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Jeder Nutzer muss eine eindeutige uidNumber haben. Beachten Sie, dass beim Wert für das Attribut uid zwischen Groß- und Kleinschreibung unterschieden wird. Für das Attribut objectClass ist user die Standardeinstellung in den meisten Active Directory-Bereitstellungen (AD). Hier ein Beispiel:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Für LDAP-Gruppen müssen die folgenden Attribute festgelegt sein:

      • cn
      • gidNumber
      • objectClass

      Jede Gruppe muss eine eindeutige gidNumber haben. Beachten Sie, dass beim Wert für das Attribut cn zwischen Groß- und Kleinschreibung unterschieden wird. Für das Attribut objectClass ist group die Standardeinstellung in den meisten AD-Bereitstellungen. Hier ein Beispiel:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Gewähren Sie Filestore Zugriff, um Objekte in Managed Microsoft AD zu erstellen und zu verwalten, indem Sie den Befehl gcloud projects add-iam-policy-binding verwenden:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Ersetzen Sie Folgendes:

    • MANAGED_MICROSOFT_AD_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Managed Microsoft AD-Domain befindet.
    • PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Filestore-Instanz befindet.

    Möglicherweise wird ein Fehler wie der folgende angezeigt:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Verwenden Sie in diesem Fall den folgenden Befehl, um das Problem zu beheben:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Filestore-Instanz mit Managed Microsoft AD erstellen

Google Cloud Console

Instanzparameter einrichten

  1. Wechseln Sie in der Google Cloud Console zur Seite „Filestore-Instanzen“.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie die grundlegenden Parameter der Instanz an:

    1. Geben Sie im Feld Instanz-ID den Namen ein, den Sie für die Filestore-Instanz verwenden möchten.

    2. Wählen Sie unter Instanztyp die Option Regional oder Zonal aus.

      Wenn Sie eine Enterprise-Instanz erstellen möchten, müssen Sie Vorgänge direkt über die Filestore API ausführen.

    3. Geben Sie unter Allocated Capacity (Zugewiesene Kapazität) die gewünschte Kapazität ein. Sie müssen einen Wert zwischen 1 TB und 10 TB in Schritten von 256 GiB (0, 25 TiB) eingeben.

    4. Wählen Sie unter Region die gewünschte Region aus.

    5. Wählen Sie unter VPC-Netzwerk das Netzwerk aus, das Sie für die Filestore-Instanz und die NFS-Clients verwenden möchten.

      • Wenn sich Managed Microsoft AD im selben Projekt wie die Filestore-Instanz befindet, muss das VPC-Netzwerk in der Managed Microsoft AD-Domain autorisiert werden.
      • Wenn sich Managed Microsoft AD in einem separaten Projekt befindet, sollte das VPC-Netzwerk mit Active Directory-Netzwerk-Peering in der Managed Microsoft AD-Konfiguration konfiguriert werden.

    6. Wählen Sie unter Zugewiesener IP-Bereich die Option Automatisch zugewiesenen IP-Bereich verwenden (empfohlen) aus.

    7. Wählen Sie unter Protokoll die Option NFSv4.1 aus.

Authentifizierungseinstellungen der Instanz konfigurieren

  1. Konfigurieren Sie die Authentifizierungseinstellungen der Instanz.
    1. Klicken Sie auf Authentifizierung.
    2. Wählen Sie das Projekt aus, in dem Managed Microsoft AD gehostet wird. In diesem Leitfaden gehen wir davon aus, dass das aktuelle Projekt das Projekt ist, das wir verwenden möchten. Wählen Sie in der Liste Einer Active Directory-Domain beitreten die gewünschte Managed Microsoft AD-Domain aus.
    3. Geben Sie im Feld Name des Computerkontos den Namen des Computerkontos ein, mit dem Sie die Filestore-Instanz in der Managed Microsoft AD-Domain identifizieren möchten. Der Name darf höchstens 15 alphanumerische Zeichen enthalten.
    4. Geben Sie im Feld Dateifreigabename den Namen der Freigabe ein, wie er von den NFSv4.1-Clients verwendet wird.

  2. Führen Sie im Bereich Zugriffssteuerung einen der folgenden Schritte aus:

    • Wenn Sie Managed Microsoft AD verwenden, wählen Sie Zugriff anhand von IP-Adresse oder ‑Bereich einschränken aus.

      1. Legen Sie die Zugriffsregel nach IP-Adresse oder Subnetz fest, die Sie definieren möchten. Verwenden Sie für diese Anleitung die folgenden Einstellungen:
      2. Geben Sie im Feld IP-Adresse oder ‑Bereich 1 die IP-Adresse oder den Bereich ein, die bzw. den Sie verwenden möchten.
      3. Klicken Sie auf die Drop-down-Liste Access 1 (Zugriff 1) und wählen Sie Admin (Administrator) aus. Klicken Sie auf die Drop-down-Liste Mountsec= 1 und wählen Sie das Kästchen sys aus.

      Der Standardinhaber von Filestore / ist root. Wenn Sie anderen Nutzern und Gruppen Zugriff auf die Instanz gewähren möchten, müssen Sie eine Zugriffsregel erstellen, die den Zugriff auf die Verwaltungs-VM mit der Rolle Admin und der Sicherheitseinstellung sec=sys ermöglicht.

    • Wenn Sie Managed Microsoft AD nicht verwenden, wählen Sie Allen Clients im VPC-Netzwerk Zugriff gewähren aus.

      Wenn Managed Microsoft AD nicht verwendet wird, ist die einzige unterstützte Sicherheitseinstellung sec=sys.

  3. Klicken Sie auf Erstellen, um die Instanz zu erstellen.

gcloud

  1. Installieren und initialisieren Sie die gcloud CLI.

    Wenn Sie die gcloud CLI bereits installiert haben, führen Sie den folgenden Befehl aus, um sie zu aktualisieren:

    gcloud components update

  2. Führen Sie den Befehl gcloud beta filestore instances create aus, um eine zonale, regionale oder Enterprise-Instanz von Filestore zu erstellen:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Wobei:

    • INSTANCE_ID ist die Instanz-ID der Filestore-Instanz, die Sie erstellen möchten. Weitere Informationen finden Sie unter Instanz benennen.
    • DESCRIPTION ist eine Beschreibung für die Instanz, die Sie verwenden möchten.
    • LOCATION ist der Standort, an dem sich die Filestore-Instanz befinden soll.
    • TIER ist die Dienststufe, die Sie verwenden möchten.
    • PROTOCOL ist NFS_v4_1.
    • FILE_SHARE_NAME ist der Name, den Sie für den NFS-Fileshare festlegen, der von der Instanz bereitgestellt wird.
    • CAPACITY ist die gewünschte Größe für die Dateifreigabe zwischen 1 TiB und 10 TiB.

    • VPC_NETWORK ist der Name des VPC-Netzwerks, das von der Instanz verwendet werden soll. Weitere Informationen finden Sie unter VPC-Netzwerk auswählen.

      • Wenn Sie eine freigegebene VPC über ein Dienstprojekt festlegen möchten, müssen Sie den voll qualifizierten Netzwerknamen im folgenden Format angeben:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Geben Sie connect-mode=PRIVATE_SERVICE_ACCESS ähnlich wie im Folgenden an:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID ist die Projekt-ID, in der sich der Managed Microsoft AD-Dienst befindet.

    • MANAGED_AD_DOMAIN_NAME ist der Domainname des Managed Microsoft AD-Dienstes, den Sie verwenden möchten. Sie wählen diesen Domainnamen aus, wenn Sie eine Managed Microsoft AD-Domain erstellen.

    • DOMAIN_COMPUTER_ACCOUNT ist ein beliebiger Name, den Sie dem Cluster in der Domain geben möchten.

    • CONSUMER_PROJECT_ID ist die Projekt-ID des Projekts, das die Filestore-Instanz enthält.

    • CONNECT_MODE ist DIRECT_PEERING oder PRIVATE_SERVICE_ACCESS. Wenn Sie eine freigegebene VPC als Netzwerk angeben, müssen Sie auch PRIVATE_SERVICE_ACCESS als Verbindungsmodus angeben. Dieses Flag ist für das VPC-Netzwerk-Peering erforderlich, das bei der Verwendung von Managed Microsoft AD eine Voraussetzung ist.

    • RESERVED_IP_RANGE ist der IP-Adressbereich für die Filestore-Instanz. Wenn Sie connect-mode=PRIVATE_SERVICE_ACCESS angeben und einen reservierten IP-Adressbereich verwenden möchten, müssen Sie den Namen eines zugewiesenen Adressbereichs anstelle eines CIDR-Bereichs angeben. Weitere Informationen finden Sie unter Reservierte IP-Adresse konfigurieren. Wir empfehlen, dieses Flag zu überspringen, damit Filestore automatisch einen freien IP-Adressbereich findet und der Instanz zuweist.

Verbindung zwischen einer Managed Microsoft AD-Domain und einer Filestore-Instanz trennen

Google Cloud Console

  1. Trennen Sie eine Filestore-Instanz, die mit Managed Microsoft AD verbunden ist.

    Rufen Sie in der Google Cloud Console die Seite „Filestore-Instanzen“ auf.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf die ID der Instanz, die Sie bearbeiten möchten.

  3. Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Name des Verzeichnisdienstes auf  AD-Domain trennen.

  4. Lesen Sie im Fenster Verbindung zur Domain konnte nicht getrennt werden die Warnung und klicken Sie dann auf Instanz bearbeiten.

    Mindestens eine Regel in der Zugriffssteuerung muss der Administratorrolle mit der Mount-Sicherheitseinstellung sys zugeordnet sein, z. B. Access=Admin Mount und sec=sys.

  5. Suchen Sie im Bereich Freigabe bearbeiten nach der Regel, in der Zugriff auf Administrator festgelegt ist. Klicken Sie auf Mount sec= ... und wählen Sie sys aus, um diese Option der vorhandenen Einstellung hinzuzufügen.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie neben Name des Verzeichnisdienstes auf  AD-Domain trennen.

  9. Geben Sie im Feld im Fenster Verbindung zur Domain trennen? den Namen der Domain ein, von der Sie die Verbindung trennen möchten.

  10. Klicken Sie auf Verbindung aufheben.

Zugriffsregeln bearbeiten

  1. Aktualisieren Sie die Seite. Name des Verzeichnisdienstes ist jetzt auf Kein festgelegt.

  2. Klicken Sie auf Bearbeiten.

  3. Suchen Sie im Bereich Freigabe bearbeiten nach Regeln, mit denen der Zugriff für eine andere Rolle als Administrator festgelegt wird, z. B. Bearbeiter. Klicken Sie in der Regel auf sec= bereitstellen… und wählen Sie sys aus, um sie der vorhandenen Einstellung hinzuzufügen. Klicken Sie auf OK.

  4. Klicken Sie auf Speichern.

  5. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Verbindung zwischen einer verwalteten Microsoft AD-Domain und einer Filestore-Instanz wiederherstellen

Google Cloud Console

  1. Filestore-Instanz neu mit Managed Microsoft AD verbinden

    Klicken Sie im Bereich NFS-Einhängepunkt unter Protokoll neben Name des Verzeichnisdienstes auf AD-Domain beitreten.

  2. Wählen Sie im Fenster Diese Instanz mit einer Active Directory-Domain verknüpfen die Option Domains aus dem aktuellen Projekt verwenden aus. Wählen Sie im Menü Einer Active Directory-Domain beitreten die gewünschte Domain aus.

  3. Geben Sie im Menü Name des Computerkontos einen Namen ein.

  4. Klicken Sie auf Join Domain (Domain beitreten).

  5. Aktualisieren Sie die Seite. Der Name des Verzeichnisdienstes wurde entsprechend Ihrer Auswahl aktualisiert.

  6. Klicken Sie auf Bearbeiten.

  7. Klicken Sie im Bereich Freigabe bearbeiten in allen anwendbaren Regeln auf sec= einbinden… und entfernen Sie die Auswahl sys. Klicken Sie auf OK.

  8. Klicken Sie auf Speichern.

  9. Aktualisieren Sie die Seite.

Die Regeleinstellungen werden aktualisiert.