Crear una instancia de Filestore con Microsoft AD gestionado

Crea una instancia de Filestore que use el protocolo NFSv4.1 con Microsoft AD gestionado.

Antes de empezar

Antes de crear una instancia de Filestore, asegúrate de que tienes suficiente cuota. Los intervalos de cuota de instancias varían en función de la ubicación de la región y del nivel de servicio que quieras usar. Para aumentar la cuota disponible, debes enviar una solicitud de aumento de cuota.

Crear el dominio de Microsoft AD gestionado

Si quieres usar Microsoft AD gestionado con una instancia de Filestore, el dominio de Microsoft AD gestionado debe crearse antes que la instancia de Filestore.

  1. Tanto el dominio de Managed Microsoft AD como la instancia de Filestore deben usar la misma VPC en el mismo proyecto.

    Si tu servicio Managed Microsoft AD está alojado en un proyecto independiente de la instancia de Filestore que quieres usar, la red VPC de Filestore debe estar emparejada con el dominio de Managed Microsoft AD.

    Para obtener más información, consulta Implementar Managed Microsoft AD con acceso entre proyectos mediante el emparejamiento de dominios.

  2. Completa todos los pasos de configuración para crear una instancia de Filestore.

  3. Asegúrate de que los usuarios de Microsoft AD gestionado tengan los campos POSIX RFC 2307 y RFC 2307bis rellenos, como se muestra a continuación.

    Para obtener más información sobre cómo configurar objetos en Managed Microsoft AD, consulta Objetos de Managed Active Directory.

    Usuarios y equipos de Active Directory

    En los siguientes pasos se describen los atributos que debe definir para los usuarios y grupos de LDAP. Puedes gestionar los atributos POSIX mediante el complemento MMC Usuarios y equipos de Active Directory.

    Abre el Editor de atributos de la siguiente manera:

    1. Haz clic en Empezar.

    2. Haz clic en Herramientas administrativas de Windows y selecciona Usuarios y equipos de Active Directory.

      Se abre la ventana Usuarios y equipos de Active Directory.

    3. Selecciona el nombre de dominio que quieras ver. Para desplegar su contenido, haz clic en la flecha de expansión.

    4. En el menú Ver de Usuarios y equipos de Active Directory, selecciona Funciones avanzadas.

    5. En el panel de la izquierda, haga doble clic en Usuarios.

    6. En la lista de usuarios, haz doble clic en un usuario para ver su pestaña Editor de atributos.

      Los usuarios de LDAP deben tener definidos los siguientes atributos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuario debe tener un uidNumber único. Tenga en cuenta que el valor del atributo uid distingue entre mayúsculas y minúsculas. En el caso del atributo objectClass, user es el ajuste predeterminado en la mayoría de las implementaciones de Active Directory (AD). A continuación, se muestra un ejemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Los grupos de LDAP deben tener definidos los siguientes atributos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo debe tener un gidNumber único. Tenga en cuenta que el valor del atributo cn distingue entre mayúsculas y minúsculas. En el caso del atributo objectClass, group es el ajuste predeterminado en la mayoría de las implementaciones de AD. A continuación, se muestra un ejemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Concede acceso a Filestore para crear y gestionar objetos en Microsoft AD gestionado con el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Haz los cambios siguientes:

    • MANAGED_MICROSOFT_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el dominio de Microsoft AD gestionado.
    • PROJECT_ID es el ID del proyecto en el que se encuentra la instancia de Filestore.

    Es posible que veas un error similar al siguiente:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Si es así, usa el siguiente comando para resolverlo:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crear una instancia de Filestore con Microsoft AD gestionado

Google Cloud consola

Configurar los parámetros de la instancia

  1. En la consola, ve a la página de instancias de Filestore. Google Cloud

    Ve a la página Instancias de Filestore.

  2. Haz clic en Crear instancia.

  3. Especifica los parámetros básicos de la instancia:

    1. En el campo ID de instancia, introduce el nombre que quieras usar para la instancia de Filestore.

    2. En Tipo de instancia, selecciona Regional o Zonal.

      Para crear una instancia de Enterprise, debes ejecutar operaciones directamente a través de la API de Filestore.

    3. En Capacidad asignada, introduce la capacidad que quieras usar. Debes introducir un valor entre 1 y 10 TB, en incrementos de 256 GiB (0,25 TiB).

    4. En Región, selecciona la región que quieras usar.

    5. En Red de VPC, selecciona la red que quieras usar para la instancia de Filestore y los clientes NFS.

      • Si el servicio gestionado de Microsoft AD está en el mismo proyecto que la instancia de Filestore, la red VPC debe autorizarse en el dominio del servicio gestionado de Microsoft AD.
      • Si Managed Microsoft AD está en un proyecto independiente, la red de VPC debe configurarse con el emparejamiento de redes de Active Directory en la configuración de Managed Microsoft AD.

    6. En Intervalo de direcciones IP asignado, selecciona Usar un intervalo de direcciones IP asignado automáticamente (opción recomendada).

    7. En Protocol (Protocolo), selecciona NFSv4.1.

Configurar los ajustes de autenticación de la instancia

  1. Configura los ajustes de autenticación de la instancia.
    1. Haz clic en Autenticación.
    2. Selecciona el proyecto que aloja Managed Microsoft AD. En esta guía, vamos a suponer que el proyecto actual es el que queremos usar. En la lista Unir a un dominio de Active Directory, selecciona el dominio de Microsoft AD gestionado que quieras usar.
    3. En el campo Nombre de cuenta de ordenador, introduce el nombre de la cuenta de ordenador que quieras usar para identificar la instancia de Filestore en el dominio de Microsoft AD gestionado. El nombre no puede tener más de 15 caracteres alfanuméricos.
    4. En el campo Nombre del recurso compartido de archivos, introduce el nombre del recurso compartido tal como lo usarán los clientes de NFSv4.1.

  2. En el panel Control de acceso, sigue uno de estos pasos:

    • Si usas Microsoft AD gestionado, selecciona Restringir acceso por intervalo o dirección IP.

      1. Define la regla de acceso por IP o subred que quieras. Para los fines de esta guía, utiliza los siguientes ajustes:
      2. En el campo Dirección o intervalo de IPs 1, introduce la dirección o el intervalo de IPs que quieras usar.
      3. Haz clic en la lista desplegable Acceso 1 y selecciona Administrador. Haz clic en la lista desplegable Montarsec= 1 y selecciona la casilla sys.

      El propietario predeterminado de Filestore / es root. Para permitir que otros usuarios y grupos accedan a la instancia, debes crear una regla de acceso que permita el acceso a la VM de gestión mediante el rol Admin y el ajuste de seguridad sec=sys.

    • Si no usas el servicio gestionado de Microsoft AD, selecciona Conceder acceso a todos los clientes de la red VPC.

      Si no se usa Microsoft AD gestionado, el único ajuste de seguridad admitido es sec=sys.

  3. Haz clic en Crear para que se genere la instancia.

gcloud

  1. Instala e inicializa gcloud CLI.

    Si ya tienes instalada la CLI de gcloud, ejecuta el siguiente comando para actualizarla:

    gcloud components update

  2. Ejecuta el comando gcloud beta filestore instances create para crear una instancia zonal, regional o Enterprise de Filestore:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Donde:

    • INSTANCE_ID es el ID de instancia de la instancia de Filestore que quieres crear. Consulta Asignar un nombre a la instancia.
    • DESCRIPTION es la descripción de la instancia que quieres usar.
    • LOCATION es la ubicación en la que quieres que se encuentre la instancia de Filestore.
    • TIER es el nivel de servicio que quieres usar.
    • PROTOCOL es NFS_v4_1.
    • FILE_SHARE_NAME es el nombre que especifiques para el recurso compartido de archivos NFS que se sirve desde la instancia.
    • CAPACITY es el tamaño que quieres asignar al recurso compartido de archivos, entre 1 TiB y 10 TiB.

    • VPC_NETWORK es el nombre de la red de VPC que quieres que use la instancia. Consulta Seleccionar la red de VPC.

      • Si quieres especificar una VPC compartida de un proyecto de servicio, debes indicar el nombre de red completo, que tiene el siguiente formato:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Especifica connect-mode=PRIVATE_SERVICE_ACCESS, similar a lo siguiente:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el servicio gestionado de Microsoft AD.

    • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio Managed Microsoft AD que quieres usar. Elige este nombre de dominio al crear un dominio de Microsoft AD gestionado.

    • DOMAIN_COMPUTER_ACCOUNT es el nombre que quieras que tenga el clúster en el dominio.

    • CONSUMER_PROJECT_ID es el ID del proyecto que contiene la instancia de Filestore.

    • CONNECT_MODE es DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Si especificas una VPC compartida como red, también debes especificar PRIVATE_SERVICE_ACCESS como modo de conexión. Esta marca es obligatoria para el emparejamiento de redes VPC, que es un requisito cuando se usa el servicio gestionado de Microsoft AD.

    • RESERVED_IP_RANGE es el intervalo de direcciones IP de la instancia de Filestore. Si especificas connect-mode=PRIVATE_SERVICE_ACCESS y quieres usar un intervalo de direcciones IP reservado, debes especificar el nombre de un intervalo de direcciones asignado en lugar de un intervalo CIDR. Consulta Configurar una dirección IP reservada. Te recomendamos que omitas esta marca para que Filestore busque automáticamente un intervalo de direcciones IP libres y lo asigne a la instancia.

Desconectar un Microsoft AD gestionado de una instancia de Filestore

Google Cloud console

  1. Desconecta una instancia de Filestore conectada a Microsoft AD gestionado.

    En la Google Cloud consola, ve a la página Instancias de Filestore.

    Ve a la página Instancias de Filestore.

  2. Haga clic en el ID de instancia de la instancia que quiera editar.

  3. En el panel Punto de montaje de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  4. En la ventana No se ha podido desconectar del dominio, lea la alerta y, a continuación, haga clic en Editar instancia.

    Al menos una regla de Control de acceso debe asignarse al rol de administrador con el ajuste de seguridad de montaje sys, como Acceso=Montaje de administrador y sec=sys.

  5. En el panel Editar uso compartido, busca la regla en la que Acceso esté definido como Administrador. Haz clic en Montar sec= ... y selecciona sys para añadir esa opción al ajuste actual.

  6. Haz clic en Aceptar.

  7. Haz clic en Guardar.

  8. Junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  9. En el campo de la ventana ¿Desconectar del dominio?, introduce el nombre del dominio del que quieras desconectarte.

  10. Haz clic en Desconectar.

Editar las reglas de acceso

  1. Actualiza la página. Ten en cuenta que el nombre del servicio de directorio ahora es Ninguno.

  2. Haz clic en Editar.

  3. En el panel Editar uso compartido, busca cualquier regla que defina el acceso para un rol que no sea Administrador, como Editor. En la regla, haz clic en Montar sec= ... y selecciona sys para añadirlo a la configuración actual. Haz clic en Aceptar.

  4. Haz clic en Guardar.

  5. Actualiza la página.

    Se actualiza la configuración de la regla.

Volver a conectar un Microsoft AD gestionado a una instancia de Filestore

Google Cloud consola

  1. Vuelve a conectar una instancia de Filestore a Microsoft AD gestionado.

    En el panel Punto de montaje de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Unir al dominio de AD.

  2. En la ventana Unir esta instancia a un dominio de Active Directory, selecciona Usar dominios del proyecto actual. En el menú Unir a un dominio de Active Directory, selecciona el dominio que quieras usar.

  3. En el menú Nombre de cuenta de ordenador, introduce un nombre.

  4. Haz clic en Unirme al dominio.

  5. Actualiza la página. Ten en cuenta que el nombre del servicio de directorio se ha actualizado con tu selección.

  6. Haz clic en Editar.

  7. En el panel Editar uso compartido, haz clic en Montar sec= ... en todas las reglas aplicables y quita la selección sys. Haz clic en Aceptar.

  8. Haz clic en Guardar.

  9. Actualiza la página.

Se actualiza la configuración de la regla.