Managed Microsoft AD で NFSv4.1 プロトコルを使用する Filestore インスタンスを作成します。
始める前に
新しい Filestore インスタンスを作成する前に、十分な割り当てがあることを確認してください。使用するリージョン ロケーションとサービス階層ごとのインスタンスの割り当て範囲。利用可能な割り当てを増やすには、割り当ての増加リクエストを送信する必要があります。
マネージド Microsoft AD ドメインを作成する
Managed Microsoft AD を Filestore インスタンスで使用する場合は、Filestore インスタンスの前に Managed Microsoft AD ドメインを作成する必要があります。
同じプロジェクトで、Managed Microsoft AD ドメインと Filestore インスタンスの両方で同じ VPC を使用する必要があります。
Managed Microsoft AD サービスが、使用する Filestore インスタンスとは別のプロジェクトでホストされている場合、Filestore VPC ネットワークは、Managed Microsoft AD ドメインにピアリングする必要があります。
詳細については、ドメイン ピアリングを使用してプロジェクト間のアクセスで Managed Microsoft AD をデプロイするをご覧ください。
Managed Microsoft AD ユーザーが、次のように POSIX RFC 2307 フィールドと RFC 2307bis フィールドに入力されていることを確認します。
Managed Microsoft AD でオブジェクトを構成する方法の詳細については、Managed Active Directory オブジェクトをご覧ください。
Active Directory ユーザーとコンピュータ
以下の手順では、LDAP のユーザーとグループに設定する必要がある属性について説明します。MMC のスナップインの [Active Directory ユーザーとコンピュータ] を使用して、POSIX 属性を管理できます。
次の手順で [属性エディタ] を開きます。
- [開始] をクリックします。
[Windows 管理ツール] をクリックし、[Active Directory ユーザーとコンピュータ] を選択します。
[Active Directory ユーザーとコンピュータ] ウィンドウが開きます。
表示するドメイン名を選択します。コンテンツを開くには、 展開矢印をクリックします。
[Active Directory ユーザーとコンピュータ] の [表示] メニューで、[高度な機能] を選択します。
左側のペインで [ユーザー] をダブルクリックします。
ユーザー リストでユーザーをダブルクリックして、[属性エディター] タブを表示します。
LDAP ユーザーには次の属性が設定されている必要があります。
uiduidNumbercngidNumberobjectClass
各ユーザーに固有の
uidNumberが必要です。uid属性の値では、大文字と小文字が区別されることに注意してください。objectClass属性の場合、userはほとんどの Active Directory(AD)デプロイのデフォルト設定です。次に例を示します。uid: Alice uidNumber: 139 gidNumber: 555 objectClass: userLDAP グループには次の属性を設定する必要があります。
cngidNumberobjectClass
各グループには一意の
gidNumberが必要です。cn属性の値では、大文字と小文字が区別されることに注意してください。objectClass属性の場合、ほとんどの AD デプロイのデフォルト設定はgroupです。次に例を示します。cn: AliceGroup gidNumber: 555 objectClass: group
gcloud projects add-iam-policy-bindingコマンドを使用して、Managed Microsoft AD でオブジェクトを作成、管理するアクセス権を Filestore に付与します。gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \ --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \ --format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \ --role=roles/managedidentities.filestoreintegrator以下を置き換えます。
- MANAGED_MICROSOFT_AD_PROJECT_ID は、Managed Microsoft AD ドメインが配置されているプロジェクトのプロジェクト ID です。
- PROJECT_ID は、Filestore インスタンスが配置されているプロジェクトのプロジェクト ID です。
次のようなエラーが表示される場合があります。
INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.その場合は、次のコマンドを使用して解決します。
gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID
Managed Microsoft AD を使用して Filestore インスタンスを作成する
Google Cloud コンソール
インスタンス パラメータを設定する
Google Cloud コンソールで、Filestore インスタンス ページに移動します。
[インスタンスを作成] をクリックします。
インスタンスの基本パラメータを指定します。
- [インスタンス ID] フィールドに、Filestore インスタンスに使用する名前を入力します。
[インスタンス タイプ] で、[リージョン] または [ゾーン] を選択します。
エンタープライズ インスタンスを作成するには、Filestore API を使用してオペレーションを直接実行する必要があります。
[割り当てられた容量] に、使用する容量を入力します。1 TB と 10 TB の間の値を 256 GiB(0.25 TiB)刻みで入力する必要があります。
[リージョン] で、使用するリージョンを選択します。
[VPC ネットワーク] で、Filestore インスタンスと NFS クライアントに使用するネットワークを選択します。
- Managed Microsoft AD が Filestore インスタンスと同じプロジェクトにある場合、VPC ネットワークは Managed Microsoft AD ドメインで承認される必要があります。
- Managed Microsoft AD が別のプロジェクトにある場合、VPC ネットワークは、Managed Microsoft AD 構成で Active Directory ネットワーク ピアリングで構成する必要があります。
[割り振られた IP 範囲] で、[自動的に割り振られた IP 範囲を使用する(推奨)] を選択します。
[プロトコル] で [NFSv4.1] を選択します。
インスタンスの認証設定を構成する
- インスタンスの認証設定を構成します。
- [認証] をクリックします。
- Managed Microsoft AD をホストするプロジェクトを選択します。このガイドでは、現在のプロジェクトを使用するプロジェクトであると仮定します。[Active Directory ドメインに参加] リストで、使用する Managed Microsoft AD ドメインを選択します。
- [コンピュータ アカウント名] フィールドに、Managed Microsoft AD ドメインで Filestore インスタンスを識別するために使用するコンピュータ アカウント名を入力します。名前は 15 文字の英数字に制限されています。
- [ファイル共有の名前] フィールドに、NFSv4.1 クライアントで使用される共有の名前を入力します。
[アクセス制御] ペインで、次のいずれかの手順を完了します。
Managed Microsoft AD を使用する場合は、[IP アドレスまたは範囲でアクセスを制限する] を選択します。
- 定義する IP またはサブネットによってアクセスルールを設定します。このガイドでは、次の設定を使用します。
- [IP アドレスまたは範囲 1] フィールドに、使用する IP アドレスまたは範囲を入力します。
- [アクセス 1] プルダウン リストをクリックし、[管理者] を選択します。[マウント
sec=1] プルダウン リストをクリックし、[シス] チェックボックスをオンにします。
Filestore のデフォルトの
/のオーナーはrootです。他のユーザーとグループのインスタンスへのアクセスを有効にするには、Adminロールとsec=sysセキュリティ設定を使用して、管理 VM アクセスを有効にするアクセスルールを作成する必要があります。Managed Microsoft AD を使用していない場合は、[VPC ネットワーク上のすべてのクライアントへのアクセス権を付与する] を選択します。
Managed Microsoft AD を使用していない場合、サポートされるセキュリティ設定は
sec=sysのみです。
[作成] をクリックしてインスタンスを作成します。
gcloud
-
gcloud CLI がすでにインストールされている場合は、次のコマンドを実行して更新します。
gcloud components update gcloud beta filestore instances createコマンドを実行して、Filestore ゾーン、リージョン、エンタープライズ インスタンスを作成します。gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \ --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \ --project=CONSUMER_PROJECT_IDここで
- INSTANCE_ID は作成する Filestore インスタンスのインスタンス ID です。インスタンスに名前を付けるをご覧ください。
- DESCRIPTION は、使用するインスタンスの説明です。
- LOCATION は、Filestore インスタンスを配置する場所です。
- TIER は、使用するサービス階層に置き換えます。
- PROTOCOL は
NFS_v4_1に設定されています。 - FILE_SHARE_NAME は、インスタンスから提供される NFS ファイル共有に指定する名前です。
- CAPACITY は、ファイル共有に使用するサイズで、1 TiB と 10 TiB の間です。
VPC_NETWORK は、インスタンスで使用する VPC ネットワークの名前です。VPC ネットワークを選択するをご覧ください。
- サービス プロジェクトから共有 VPC を指定する場合は、完全修飾ネットワーク名を指定する必要があります。これは次の形式です。
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME次のように
connect-mode=PRIVATE_SERVICE_ACCESSを指定します。--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS- vpc_network 値に以前のネットワークを指定することはできません。必要に応じて、自動モードの VPC ネットワークを作成するの手順に沿って、使用する新しい VPC ネットワークを作成します。
MANAGED_AD_PROJECT_ID は、Managed Microsoft AD サービスが配置されているプロジェクト ID です。
MANAGED_AD_DOMAIN_NAME は、使用する Managed Microsoft AD サービスのドメイン名です。このドメイン名は、Managed Microsoft AD ドメインを作成するときに選択します。
DOMAIN_COMPUTER_ACCOUNT は、ドメイン内で呼び出すクラスタの名前です。
CONSUMER_PROJECT_ID は、Filestore インスタンスを含むプロジェクトのプロジェクト ID です。
CONNECT_MODE は
DIRECT_PEERINGまたはPRIVATE_SERVICE_ACCESSです。 共有 VPC をネットワークとして指定する場合は、接続モードとしてPRIVATE_SERVICE_ACCESSも指定する必要があります。このフラグは、VPC ネットワーク ピアリングに必要です。これは、Managed Microsoft AD を使用する場合の要件です。RESERVED_IP_RANGE は、Filestore インスタンスの IP アドレス範囲です。
connect-mode=PRIVATE_SERVICE_ACCESSが指定されていて、予約された IP アドレス範囲を使用する場合は、CIDR 範囲ではなく、割り当てられたアドレス範囲の名前を指定する必要があります。予約済み IP アドレスを構成するをご覧ください。このフラグを省略して、Filestore が空いている IP アドレス範囲を自動的に見つけてインスタンスに割り当てられるようにすることをおすすめします。
Filestore インスタンスから Managed Microsoft AD を接続解除する
Google Cloud コンソール
Managed Microsoft AD に接続されている Filestore インスタンスを接続解除します。
Google Cloud コンソールで、Filestore インスタンス ページに移動します。
編集するインスタンスのインスタンス ID をクリックします。
[NFS マウント ポイント] ペインの [プロトコル] の下の [ディレクトリ サービス名] の隣の [AD ドメインを接続解除する] をクリックします。
[ドメインからの接続解除に失敗した] ウィンドウで、アラートを読んでから、[インスタンスを編集する] をクリックします。
アクセス制御の少なくとも 1 つのルールは、Access=Admin Mountと
sec=sys などのsysマウント セキュリティ設定で管理者ロールにマッピングされる必要があります。[共有を編集する] ペインで、[アクセス] が [管理者] に設定されているルールを特定します。[Mount
sec=...] をクリックし、sysを選択して既存の設定にオプションを追加します。[OK] をクリックします。
[保存] をクリックします。
[ディレクトリ サービス名] の横で、 [AD ドメインを接続解除する] をクリックします。
[ドメインから接続解除しますか?] ウィンドウのフィールドに、接続解除するドメインの名前を入力します。
[接続を解除] をクリックします。
アクセスルールを編集する
ページを更新すると、[ディレクトリ サービス名] が [なし] に設定されていることに注意してください。
[編集] をクリックします。
[共有を編集する] ペインで、編集者などの管理者以外のロールへのアクセス権を設定するルールを特定します。ルールで [Mount
sec=...] をクリックし、sysを選択して既存の設定に追加します。[OK] をクリックします。[保存] をクリックします。
ページを更新してください。
ルールの設定が更新されます。
Managed Microsoft AD を Filestore インスタンスに再接続する
Google Cloud コンソール
Filestore インスタンスを Managed Microsoft AD に再接続します。
[NFS マウント ポイント] ペインの [プロトコル] の下の [ディレクトリ サービス名] の隣の [AD ドメインに参加する] をクリックします。
[このインスタンスを Active Directory ドメインに参加させる] ウィンドウで [現在のプロジェクトのドメインを使用する] を選択し、[Active Directory ドメインに参加する] メニューで使用するドメインを選択します。
[コンピュータ アカウント名] メニューで名前を入力します。
[ドメインに参加する] をクリックします。
ページを更新すると、[ディレクトリ サービス名] が選択によって更新されていることに注意してください。
[編集] をクリックします。
[共有を編集する] ペインで、該当するすべてのルールで [Mount
sec=...] をクリックし、sysの選択を解除します。[OK] をクリックします。[保存] をクリックします。
ページを更新してください。
ルールの設定が更新されます。