Crea una instancia de Filestore con Microsoft AD administrado

Crea una instancia de Filestore que use el protocolo NFSv4.1 con Managed Microsoft AD.

Antes de comenzar

Antes de crear una instancia de Filestore nueva, asegúrate de tener suficiente cuota. Rangos de cuotas de instancias según la ubicación de la región y el nivel de servicio que deseas usar Para aumentar la cuota disponible, debes enviar una solicitud de aumento de cuota.

Crea el dominio de Microsoft AD administrado

Si deseas usar Managed Microsoft AD con una instancia de Filestore, el dominio de Managed Microsoft AD debe crearse antes que la instancia de Filestore.

  1. Tanto el dominio de Microsoft AD administrado como la instancia de Filestore deben usar la misma VPC en el mismo proyecto.

    Si tu servicio de Microsoft AD administrado está alojado en un proyecto independiente de la instancia de Filestore que deseas usar, la red de VPC de Filestore debe estar interconectada con el dominio de Microsoft AD administrado.

    Para obtener más información, consulta Implementa Microsoft AD administrado con acceso entre proyectos a través de la interconexión de dominios.

  2. Completa todos los pasos de configuración para crear una instancia de Filestore.

  3. Asegúrate de que los usuarios de Microsoft AD administrado tengan los campos RFC 2307 de POSIX y RFC 2307bis completados, de forma similar a lo siguiente.

    Para obtener más información sobre cómo configurar objetos en Microsoft AD administrado, consulta Objetos de Active Directory administrado.

    Usuarios y equipos de Active Directory

    En los siguientes pasos, se describen los atributos que debes configurar para los usuarios y grupos de LDAP. Puedes administrar los atributos POSIX con el complemento de MMC Usuarios y computadoras de Active Directory.

    Abre el Editor de atributos de la siguiente manera:

    1. Haz clic en Iniciar.

    2. Haz clic en Herramientas administrativas de Windows y selecciona Usuarios y equipos de Active Directory.

      Se abrirá la ventana Usuarios y equipos de Active Directory.

    3. Selecciona el nombre de dominio que deseas ver. Para expandir su contenido, haz clic en la flecha de expansión.

    4. En el menú Ver de Usuarios y equipos de Active Directory, selecciona Funciones avanzadas.

    5. En el panel izquierdo, haz doble clic en Usuarios.

    6. En la lista de usuarios, haz doble clic en uno para ver su pestaña Editor de atributos.

      Los usuarios de LDAP deben tener establecidos los siguientes atributos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuario debe tener un uidNumber único. Ten en cuenta que el valor del atributo uid distingue entre mayúsculas y minúsculas. Para el atributo objectClass, user es el parámetro de configuración predeterminado en la mayoría de las implementaciones de Active Directory (AD). A continuación, se muestra un ejemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Los grupos de LDAP deben tener establecidos los siguientes atributos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo debe tener un gidNumber único. Ten en cuenta que el valor del atributo cn distingue entre mayúsculas y minúsculas. Para el atributo objectClass, group es el parámetro de configuración predeterminado en la mayoría de las implementaciones de AD. A continuación, se muestra un ejemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Otorga acceso a Filestore para crear y administrar objetos en Managed Microsoft AD con el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Reemplaza lo siguiente:

    • MANAGED_MICROSOFT_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el dominio de Microsoft AD administrado.
    • PROJECT_ID es el ID del proyecto en el que se encuentra la instancia de Filestore.

    Es posible que veas un error similar al siguiente:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Si es así, usa el siguiente comando para resolverlo:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crea una instancia de Filestore con Microsoft AD administrado

Consola de Google Cloud

Configura los parámetros de la instancia

  1. En la consola de Google Cloud , ve a la página de instancias de Filestore.

    Vaya a la página de instancias de Filestore

  2. Haz clic en Crear instancia.

  3. Especifica los parámetros básicos de la instancia:

    1. En el campo ID de instancia, ingresa el nombre que deseas usar para la instancia de Filestore.

    2. En Tipo de instancia, selecciona Regional o Zonal.

      Para crear una instancia empresarial, debes ejecutar operaciones directamente a través de la API de Filestore.

    3. En Capacidad asignada, ingresa la capacidad que deseas usar. Debes ingresar un valor entre 1 TB y 10 TB, en incrementos de 256 GiB (0.25 TiB).

    4. En Región, selecciona la región que deseas usar.

    5. En Red de VPC, selecciona la red que deseas usar para la instancia de Filestore y los clientes de NFS.

      • Si Microsoft AD administrado se encuentra en el mismo proyecto que la instancia de Filestore, la red de VPC debe estar autorizada en el dominio de Microsoft AD administrado.
      • Si Microsoft AD administrado está en un proyecto separado, la red de VPC debe configurarse con el intercambio de tráfico entre redes de Active Directory en la configuración de Microsoft AD administrado.

    6. En Rango de IP asignado, selecciona Usar un rango de IP asignado automáticamente (opción recomendada).

    7. En Protocolo, selecciona NFSv4.1.

Configura los parámetros de autenticación de la instancia

  1. Configura los parámetros de autenticación de la instancia.
    1. Haz clic en Autenticación.
    2. Selecciona el proyecto que aloja Microsoft AD administrado. A los efectos de esta guía, supondremos que el proyecto actual es el que queremos usar. En la lista Unirse a un dominio de Active Directory, selecciona el dominio de Microsoft AD administrado que deseas usar.
    3. En el campo Nombre de la cuenta de la computadora, ingresa el nombre de la cuenta de la computadora que deseas usar para identificar la instancia de Filestore en el dominio de Microsoft AD administrado. El nombre tiene un límite de 15 caracteres alfanuméricos.
    4. En el campo Nombre del archivo compartido, ingresa el nombre del recurso compartido tal como lo usarán los clientes de NFSv4.1.

  2. En el panel Control de acceso, completa uno de los siguientes pasos:

    • Si usas Microsoft AD administrado, selecciona Restringir el acceso por dirección IP o rango.

      1. Establece la regla de acceso por IP o subred que quieras definir. Para los fines de esta guía, usa los siguientes parámetros de configuración:
      2. En el campo Dirección o rango de IP 1, ingresa la dirección o el rango de IP que deseas usar.
      3. Haz clic en la lista desplegable Acceso 1 y selecciona Administrador. Haz clic en la lista desplegable Mountsec= 1 y selecciona la casilla de verificación sys.

      El propietario predeterminado / de Filestore es root. Para habilitar el acceso a la instancia para otros usuarios y grupos, debes crear una regla de acceso que habilite el acceso a la VM de administración con el rol Admin y el parámetro de configuración de seguridad sec=sys.

    • Si no usas Microsoft AD administrado, selecciona Grant access to all clients on the VPC network.

      Si no se usa Microsoft AD administrado, el único parámetro de configuración de seguridad admitido es sec=sys.

  3. Haz clic en Crear para crear la instancia.

gcloud

  1. Instala e inicializa gcloud CLI

    Si ya tienes instalada gcloud CLI, ejecuta el siguiente comando para actualizarla:

    gcloud components update

  2. Ejecuta el comando gcloud beta filestore instances create para crear una instancia de Filestore zonal, regional o empresarial:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Aquí:

    • INSTANCE_ID es el ID de la instancia de Filestore que deseas crear. Consulta Asigna un nombre a la instancia.
    • DESCRIPTION es una descripción de la instancia que quieres usar.
    • LOCATION es la ubicación en la que deseas que resida la instancia de Filestore.
    • TIER es el nivel de servicio que deseas usar.
    • PROTOCOL es NFS_v4_1.
    • FILE_SHARE_NAME es el nombre que especificas para el recurso compartido de archivos NFS que se entrega desde la instancia.
    • CAPACITY es el tamaño que deseas para el recurso compartido de archivos, entre 1 TiB y 10 TiB.

    • VPC_NETWORK es el nombre de la red de VPC que usará la instancia. Consulta Selecciona la red de VPC.

      • Si deseas especificar una VPC compartida desde un proyecto de servicio, debes especificar el nombre de red completamente calificado, que tiene el siguiente formato:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Especifica connect-mode=PRIVATE_SERVICE_ACCESS, de manera similar a lo siguiente:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el servicio de Microsoft AD administrado.

    • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar. Elegirás este nombre de dominio cuando crees un dominio de Microsoft AD administrado.

    • DOMAIN_COMPUTER_ACCOUNT es cualquier nombre que desees que tenga el clúster en el dominio.

    • CONSUMER_PROJECT_ID es el ID del proyecto que contiene la instancia de Filestore.

    • CONNECT_MODE es DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Si especificas una VPC compartida como la red, también debes especificar PRIVATE_SERVICE_ACCESS como el modo de conexión. Esta marca es obligatoria para el intercambio de tráfico entre redes de VPC, que es un requisito cuando se usa Microsoft AD administrado.

    • RESERVED_IP_RANGE es el rango de direcciones IP de la instancia de Filestore. Si especificas connect-mode=PRIVATE_SERVICE_ACCESS y deseas usar un rango de direcciones IP reservado, debes especificar el nombre de un rango de direcciones asignado en lugar de un rango CIDR. Consulta Configura una dirección IP reservada. Te recomendamos que omitas esta marca para permitir que Filestore encuentre automáticamente un rango de direcciones IP libre y lo asigne a la instancia.

Desconecta un Microsoft AD administrado de una instancia de Filestore

Consola de Google Cloud

  1. Desconectar una instancia de Filestore conectada a Microsoft AD administrado

    En la consola de Google Cloud , ve a la página de instancias de Filestore.

    Vaya a la página de instancias de Filestore

  2. Haz clic en el ID de la instancia que deseas editar.

  3. En el panel Punto de activación NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  4. En la ventana No se pudo desconectar del dominio, lee la alerta y, luego, haz clic en Editar instancia.

    Al menos una regla en Control de acceso debe asignarse al rol de administrador con el parámetro de configuración de seguridad de la vinculación sys, como Access=Admin Mount y sec=sys.

  5. En el panel Editar uso compartido, busca la regla en la que Acceso esté configurado como Administrador. Haz clic en Mount sec= y selecciona sys para agregar esa opción al parámetro de configuración existente.

  6. Haz clic en Aceptar.

  7. Haz clic en Guardar.

  8. Junto a Nombre del servicio de directorio, haz clic en Desconectar el dominio de AD.

  9. En el campo de la ventana ¿Quieres desconectarlo del dominio?, ingresa el nombre del dominio del que deseas desconectarte.

  10. Haz clic en Desconectar.

Edita las reglas de acceso

  1. Actualiza la página. Ten en cuenta que el nombre del servicio de directorio ahora está establecido en Ninguno.

  2. Haz clic en Editar.

  3. En el panel Editar uso compartido, busca cualquier regla que establezca acceso para un rol que no sea Administrador, como Editor. En la regla, haz clic en Mount sec= y selecciona sys para agregarlo al parámetro de configuración existente. Haz clic en Aceptar.

  4. Haz clic en Guardar.

  5. Actualiza la página.

    Se actualiza la configuración de la regla.

Vuelve a conectar un Microsoft AD administrado a una instancia de Filestore

Consola de Google Cloud

  1. Vuelve a conectar una instancia de Filestore a Microsoft AD administrado.

    En el panel Punto de activación NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Unirse al dominio de AD.

  2. En la ventana Une esta instancia a un dominio de Active Directory, selecciona Usar dominios del proyecto actual. En el menú Unirse a un dominio de Active Directory, selecciona el dominio que deseas usar.

  3. En el menú Nombre de la cuenta de la computadora, ingresa un nombre.

  4. Haz clic en Join Domain.

  5. Actualiza la página. Ten en cuenta que Directory service name se actualizó con tu selección.

  6. Haz clic en Editar.

  7. En el panel Editar uso compartido, haz clic en Mount sec= en todas las reglas aplicables y quita la selección de sys. Haz clic en Aceptar.

  8. Haz clic en Guardar.

  9. Actualiza la página.

Se actualiza la configuración de la regla.