Crea un'istanza Filestore con Microsoft Active Directory gestito

Crea un'istanza Filestore che utilizza il protocollo NFSv4.1 con Managed Microsoft AD.

Prima di iniziare

Prima di creare una nuova istanza Filestore, assicurati di disporre di una quota sufficiente. I limiti di quota delle istanze variano in base alla posizione della regione e al livello di servizio che vuoi utilizzare. Per aumentare la quota disponibile, devi inviare una richiesta di aumento della quota.

Crea il dominio Microsoft AD gestito

Se vuoi utilizzare Managed Microsoft AD con un'istanza Filestore, il dominio Managed Microsoft AD deve essere creato prima dell'istanza Filestore.

  1. Il dominio Managed Microsoft AD e l'istanza Filestore devono utilizzare lo stesso VPC nello stesso progetto.

    Se il servizio Managed Microsoft AD è ospitato in un progetto separato dall'istanza Filestore che vuoi utilizzare, la rete VPC Filestore deve essere sottoposta a peering con il dominio Managed Microsoft AD.

    Per saperne di più, vedi Esegui il deployment di Managed Microsoft AD con accesso tra progetti utilizzando il peering di domini.

  2. Completa tutti i passaggi di configurazione per creare un'istanza di Filestore.

  3. Assicurati che i campi POSIX RFC 2307 e RFC 2307bis degli utenti di Managed Microsoft AD siano compilati in modo simile al seguente.

    Per saperne di più su come configurare gli oggetti in Managed Microsoft AD, vedi Oggetti Managed Active Directory.

    Utenti e computer di Active Directory

    I seguenti passaggi descrivono gli attributi che devi impostare per gli utenti e i gruppi LDAP. Puoi gestire gli attributi POSIX utilizzando lo snap-in MMC Utenti e computer di Active Directory.

    Apri l'editor degli attributi nel seguente modo:

    1. Fai clic su Avvia.

    2. Fai clic su Strumenti di amministrazione di Windows e seleziona Utenti e computer di Active Directory.

      Si apre la finestra Utenti e computer di Active Directory.

    3. Seleziona il nome di dominio che vuoi visualizzare. Per espandere i contenuti, fai clic sulla freccia di espansione.

    4. Nel menu Visualizza di Utenti e computer di Active Directory, seleziona Funzionalità avanzate.

    5. Nel riquadro a sinistra, fai doppio clic su Utenti.

    6. Nell'elenco degli utenti, fai doppio clic su un utente per visualizzare la scheda Editor attributi.

      Gli utenti LDAP devono avere impostati i seguenti attributi:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Ogni utente deve avere un uidNumber univoco. Tieni presente che il valore dell'attributo uid è sensibile alle maiuscole. Per l'attributo objectClass, user è l'impostazione predefinita nella maggior parte delle implementazioni di Active Directory (AD). Di seguito è riportato un esempio:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      I gruppi LDAP devono avere impostati i seguenti attributi:

      • cn
      • gidNumber
      • objectClass

      Ogni gruppo deve avere un gidNumber univoco. Tieni presente che il valore dell'attributo cn è sensibile alle maiuscole. Per l'attributo objectClass, group è l'impostazione predefinita nella maggior parte dei deployment di AD. Di seguito è riportato un esempio:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Concedi a Filestore l'accesso per creare e gestire oggetti in Managed Microsoft AD utilizzando il comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Sostituisci quanto segue:

    • MANAGED_MICROSOFT_AD_PROJECT_ID è l'ID del progetto in cui si trova il dominio Managed Microsoft AD.
    • PROJECT_ID è l'ID del progetto in cui si trova l'istanza Filestore.

    Potresti visualizzare un errore simile al seguente:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    In questo caso, utilizza il seguente comando per risolvere il problema:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crea un'istanza di Filestore con Managed Microsoft AD

Console Google Cloud

Configura i parametri dell'istanza

  1. Nella console Google Cloud , vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze di Filestore

  2. Fai clic su Crea istanza.

  3. Specifica i parametri di base dell'istanza:

    1. Nel campo ID istanza, inserisci il nome che vuoi utilizzare per l'istanza Filestore.

    2. In Tipo di istanza, seleziona Regionale o A livello di zona.

      Per creare un'istanza enterprise, devi eseguire le operazioni direttamente tramite l'API Filestore.

    3. In Capacità allocata, inserisci la capacità che vuoi utilizzare. Devi inserire un valore compreso tra 1 TB e 10 TB, con incrementi di 256 GiB (0,25 TiB).

    4. In Regione, seleziona la regione che vuoi utilizzare.

    5. In Rete VPC, seleziona la rete che vuoi utilizzare per l'istanza Filestore e i client NFS.

      • Se Managed Microsoft AD si trova nello stesso progetto dell'istanza Filestore, la rete VPC deve essere autorizzata nel dominio Managed Microsoft AD.
      • Se Managed Microsoft AD si trova in un progetto separato, la rete VPC deve essere configurata con il peering di rete Active Directory nella configurazione di Managed Microsoft AD.

    6. In Intervallo IP allocato, seleziona Utilizza un intervallo IP allocato automaticamente (scelta consigliata).

    7. In Protocollo, seleziona NFSv4.1.

Configurare le impostazioni di autenticazione dell'istanza

  1. Configura le impostazioni di autenticazione dell'istanza.
    1. Fai clic su Authentication (Autenticazione).
    2. Seleziona il progetto che ospita Managed Microsoft AD. Ai fini di questa guida, supporremo che il progetto attuale sia quello che vogliamo utilizzare. Nell'elenco Unisciti a un dominio Active Directory, seleziona il dominio Microsoft Active Directory gestito che vuoi utilizzare.
    3. Nel campo Nome account computer, inserisci il nome dell'account computer che vuoi utilizzare per identificare l'istanza Filestore nel dominio Managed Microsoft AD. Il nome è limitato a 15 caratteri alfanumerici.
    4. Nel campo Nome condivisione file, inserisci il nome della condivisione che verrà utilizzato dai client NFSv4.1.

  2. Nel riquadro Controllo dell'accesso, completa uno dei seguenti passaggi:

    • Se utilizzi Managed Microsoft AD, seleziona Limita accesso in base all'indirizzo o all'intervallo IP.

      1. Imposta la regola di accesso in base all'IP o alla subnet che vuoi definire. Ai fini di questa guida, utilizza le seguenti impostazioni:
      2. Nel campo Indirizzo o intervallo IP 1, inserisci l'indirizzo o l'intervallo IP che vuoi utilizzare.
      3. Fai clic sull'elenco a discesa Accesso 1 e seleziona Amministratore. Fai clic sull'elenco a discesa Mountsec= 1 e seleziona la casella di controllo sys.

      Il proprietario predefinito / di Filestore è root. Per abilitare l'accesso all'istanza per altri utenti e gruppi, devi creare una regola di accesso che abiliti l'accesso alla VM di gestione utilizzando il ruolo Admin e l'impostazione di sicurezza sec=sys.

    • Se non utilizzi Managed Microsoft AD, seleziona Concedi l'accesso a tutti i client della rete VPC.

      Se non viene utilizzato Microsoft AD gestito, l'unica impostazione di sicurezza supportata è sec=sys.

  3. Fai clic sul pulsante Crea per creare l'istanza.

gcloud

  1. Installa e inizializza gcloud CLI.

    Se hai già installato gcloud CLI, esegui questo comando per aggiornarla:

    gcloud components update

  2. Esegui il comando gcloud beta filestore instances create per creare un'istanza Filestore a livello di zona, di regione o enterprise:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Dove:

    • INSTANCE_ID è l'ID istanza dell'istanza Filestore che vuoi creare. Consulta Assegnare un nome all'istanza.
    • DESCRIPTION è una descrizione dell'istanza che vuoi utilizzare.
    • LOCATION è la posizione in cui vuoi che si trovi l'istanza Filestore.
    • TIER è il livello di servizio che vuoi utilizzare.
    • PROTOCOL è NFS_v4_1.
    • FILE_SHARE_NAME è il nome che specifichi per la condivisione file NFS gestita dall'istanza.
    • CAPACITY è la dimensione che vuoi per la condivisione file, compresa tra 1 TiB e 10 TiB.

    • VPC_NETWORK è il nome della rete VPC che vuoi che l'istanza utilizzi. Vedi Seleziona la rete VPC.

      • Se vuoi specificare un VPC condiviso da un progetto di servizio, devi specificare il nome completo della rete, che ha il seguente formato:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Specifica connect-mode=PRIVATE_SERVICE_ACCESS, simile alla seguente:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID è l'ID progetto in cui si trova il servizio Managed Microsoft AD.

    • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare. Scegli questo nome di dominio quando crei un dominio Managed Microsoft AD.

    • DOMAIN_COMPUTER_ACCOUNT è un nome che vuoi assegnare al cluster nel dominio.

    • CONSUMER_PROJECT_ID è l'ID del progetto che contiene l'istanza Filestore.

    • CONNECT_MODE è DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Se specifichi un VPC condiviso come rete, devi specificare anche PRIVATE_SERVICE_ACCESS come modalità di connessione. Questo flag è obbligatorio per il peering di rete VPC, che è un requisito quando si utilizza Managed Microsoft AD.

    • RESERVED_IP_RANGE è l'intervallo di indirizzi IP per l'istanza Filestore. Se stai specificando connect-mode=PRIVATE_SERVICE_ACCESS e vuoi utilizzare un intervallo di indirizzi IP riservato, devi specificare il nome di un intervallo di indirizzi allocato anziché un intervallo CIDR. Consulta Configura un indirizzo IP riservato. Ti consigliamo di ignorare questo flag per consentire a Filestore di trovare automaticamente un intervallo di indirizzi IP libero e assegnarlo all'istanza.

Disconnetti un servizio Microsoft AD gestito da un'istanza di Filestore

Console Google Cloud

  1. Scollega un'istanza Filestore connessa a Managed Microsoft AD.

    Nella console Google Cloud , vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze di Filestore

  2. Fai clic sull'ID istanza dell'istanza che vuoi modificare.

  3. Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome del servizio di directory, fai clic su Disconnetti dominio AD.

  4. Nella finestra Disconnessione dal dominio non riuscita, leggi l'avviso e poi fai clic su Modifica istanza.

    Almeno una regola in Controllo dell'accesso deve essere mappata al ruolo Amministratore con l'impostazione di sicurezza del montaggio sys, ad esempio Access=Admin Mount e sec=sys.

  5. Nel riquadro Modifica condivisione, individua la regola in cui Accesso è impostato su Amministratore. Fai clic su Monta sec= e seleziona sys per aggiungere questa opzione all'impostazione esistente.

  6. Fai clic su OK.

  7. Fai clic su Salva.

  8. Accanto a Nome del servizio di directory, fai clic su Scollega dominio AD.

  9. Nel campo della finestra Disconnettere dal dominio?, inserisci il nome del dominio da cui vuoi disconnetterti.

  10. Fai clic su Disconnetti.

Modifica le regole di accesso

  1. Aggiorna la pagina. Tieni presente che Nome servizio directory ora è impostato su Nessuno.

  2. Fai clic su Modifica.

  3. Nel riquadro Modifica condivisione, individua qualsiasi regola che imposti l'accesso per un ruolo diverso da Amministratore, ad esempio Editor. Nella regola, fai clic su Monta sec= e seleziona sys per aggiungerlo all'impostazione esistente. Fai clic su Ok.

  4. Fai clic su Salva.

  5. Aggiorna la pagina.

    Aggiornamento delle impostazioni della regola.

Riconnetti un Managed Microsoft AD a un'istanza Filestore

Console Google Cloud

  1. Riconnetti un'istanza Filestore a Managed Microsoft AD.

    Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome del servizio di directory, fai clic su Aggiungi dominio AD.

  2. Nella finestra Unisci questa istanza a un dominio Active Directory, seleziona Usa i domini del progetto corrente. Nel menu Unisci un dominio Active Directory, seleziona il dominio che vuoi utilizzare.

  3. Nel menu Nome account computer, inserisci un nome.

  4. Fai clic su Join Domain (Collega dominio).

  5. Aggiorna la pagina. Tieni presente che il nome del servizio di directory è stato aggiornato con la tua selezione.

  6. Fai clic su Modifica.

  7. Nel riquadro Modifica condivisione, fai clic su Monta sec= ... in tutte le regole applicabili e rimuovi la selezione sys. Fai clic su Ok.

  8. Fai clic su Salva.

  9. Aggiorna la pagina.

Aggiornamento delle impostazioni della regola.