관리형 Microsoft AD로 Filestore 인스턴스 만들기

관리형 Microsoft AD와 함께 NFSv4.1 프로토콜을 사용하는 Filestore 인스턴스를 만듭니다.

시작하기 전에

새 Filestore 인스턴스를 만들기 전에 할당량이 충분한지 확인합니다. 사용하려는 리전 위치 및 서비스 등급에 따라 인스턴스 할당량 범위가 달라집니다. 사용 가능한 할당량을 늘리려면 할당량 상향 요청을 제출해야 합니다.

관리형 Microsoft AD 도메인 만들기

Filestore 인스턴스와 함께 관리형 Microsoft AD를 사용하려면 Filestore 인스턴스 전에 관리형 Microsoft AD 도메인을 만들어야 합니다.

  1. 동일한 프로젝트에 있는 동안 관리형 Microsoft AD 도메인과 Filestore 인스턴스 모두 동일한 VPC를 사용해야 합니다.

    사용하려는 Filestore 인스턴스와 별도의 프로젝트에 관리형 Microsoft AD 서비스가 호스팅되는 경우 Filestore VPC 네트워크가 관리형 Microsoft AD 도메인과 피어링되어야 합니다.

    자세한 내용은 도메인 피어링을 사용하여 프로젝트 간 액세스가 가능한 관리형 Microsoft AD 배포를 참고하세요.

  2. 모든 설정 단계를 완료하여 Filestore 인스턴스를 만듭니다.

  3. 관리형 Microsoft AD 사용자의 POSIX RFC 2307RFC 2307bis 필드가 다음과 같이 채워져 있는지 확인합니다.

    관리형 Microsoft AD에서 객체를 구성하는 방법에 대한 자세한 내용은 관리형 Active Directory 객체를 참고하세요.

    Active Directory 사용자 및 컴퓨터

    다음 단계에서는 LDAP 사용자 및 그룹에 설정해야 하는 속성을 설명합니다. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 POSIX 속성을 관리할 수 있습니다.

    다음과 같이 속성 편집기를 엽니다.

    1. 시작을 클릭합니다.

    2. Windows 관리 도구를 클릭하고 Active Directory 사용자 및 컴퓨터를 선택합니다.

      Active Directory 사용자 및 컴퓨터 창이 열립니다.

    3. 확인할 도메인 이름을 선택합니다. 내용을 펼치려면 펼치기 화살표를 클릭합니다.

    4. Active Directory 사용자 및 컴퓨터 보기 메뉴에서 고급 기능을 선택합니다.

    5. 왼쪽 창에서 사용자를 더블클릭합니다.

    6. 사용자 목록에서 사용자를 더블클릭하여 속성 편집기 탭을 확인합니다.

      LDAP 사용자는 다음 속성이 설정되어 있어야 합니다.

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      각 사용자마다 uidNumber가 고유해야 합니다. uid 속성의 값은 대소문자를 구분합니다. objectClass 속성의 경우 대부분의 Active Directory (AD) 배포에서 user이 기본 설정입니다. 다음은 그 예시입니다.

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      LDAP 그룹에는 다음 속성이 설정되어 있어야 합니다.

      • cn
      • gidNumber
      • objectClass

      각 그룹에는 고유한 gidNumber가 있어야 합니다. cn 속성의 값은 대소문자를 구분합니다. objectClass 속성의 경우 group이 대부분의 AD 배포에서 기본 설정입니다. 다음은 예시입니다.

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. gcloud projects add-iam-policy-binding 명령어를 사용하여 관리형 Microsoft AD에서 객체를 만들고 관리할 수 있는 Filestore 액세스 권한을 부여합니다.

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    다음을 바꿉니다.

    • MANAGED_MICROSOFT_AD_PROJECT_ID은 관리형 Microsoft AD 도메인이 있는 프로젝트의 프로젝트 ID입니다.
    • PROJECT_ID는 Filestore 인스턴스가 있는 프로젝트의 프로젝트 ID입니다.

    다음과 비슷한 오류가 표시될 수 있습니다.

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    이 경우 다음 명령어를 사용하여 문제를 해결하세요.

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

관리형 Microsoft AD로 Filestore 인스턴스 만들기

Google Cloud 콘솔

인스턴스 매개변수 설정

  1. Google Cloud 콘솔에서 Filestore 인스턴스 페이지로 이동합니다.

    Filestore 인스턴스 페이지로 이동

  2. 인스턴스 만들기를 클릭합니다.

  3. 인스턴스의 기본 매개변수를 지정합니다.

    1. 인스턴스 ID 필드에 Filestore 인스턴스에 사용할 이름을 입력합니다.

    2. 인스턴스 유형에서 리전 또는 영역을 선택합니다.

      엔터프라이즈 인스턴스를 만들려면 Filestore API를 통해 직접 작업을 실행해야 합니다.

    3. 할당된 용량에 사용할 용량을 입력합니다. 1TB~10TB 사이의 값을 256GiB (0.25TiB) 단위로 입력해야 합니다.

    4. 리전에서 사용할 리전을 선택합니다.

    5. VPC 네트워크에서 Filestore 인스턴스 및 NFS 클라이언트에 사용할 네트워크를 선택합니다.

      • 관리형 Microsoft AD가 Filestore 인스턴스와 동일한 프로젝트에 있는 경우 VPC 네트워크가 관리형 Microsoft AD 도메인에서 승인되어야 합니다.
      • 관리형 Microsoft AD가 별도의 프로젝트에 있는 경우 관리형 Microsoft AD 구성에서 Active Directory 네트워크 피어링을 사용하여 VPC 네트워크를 구성해야 합니다.

    6. 할당된 IP 범위에서 자동으로 할당된 IP 범위 사용 (권장)을 선택합니다.

    7. 프로토콜에서 NFSv4.1을 선택합니다.

인스턴스의 인증 설정 구성

  1. 인스턴스의 인증 설정을 구성합니다.
    1. 인증을 클릭합니다.
    2. 관리형 Microsoft AD를 호스팅하는 프로젝트를 선택합니다. 이 가이드에서는 현재 프로젝트를 사용한다고 가정합니다. Active Directory 도메인에 조인 목록에서 사용할 관리형 Microsoft AD 도메인을 선택합니다.
    3. 컴퓨터 계정 이름 필드에 관리형 Microsoft AD 도메인에서 Filestore 인스턴스를 식별하는 데 사용할 컴퓨터 계정 이름을 입력합니다. 이름은 영숫자 15자로 제한됩니다.
    4. 파일 공유 이름 필드에 NFSv4.1 클라이언트에서 사용할 공유 이름을 입력합니다.

  2. 액세스 제어 창에서 다음 단계 중 하나를 완료합니다.

    • 관리형 Microsoft AD를 사용하는 경우 IP 주소 또는 범위로 액세스 제한을 선택합니다.

      1. 정의할 IP 또는 서브넷별 액세스 규칙을 설정합니다. 이 가이드에서는 다음 설정을 사용합니다.
      2. IP 주소 또는 범위 1 필드에 사용할 IP 주소 또는 범위를 입력합니다.
      3. 액세스 1 드롭다운 목록을 클릭하고 관리자를 선택합니다. 마운트sec= 1 드롭다운 목록을 클릭하고 sys 체크박스를 선택합니다.

      Filestore 기본 / 소유자는 root입니다. 다른 사용자 및 그룹이 인스턴스에 액세스할 수 있도록 하려면 Admin 역할과 sec=sys 보안 설정을 사용하여 관리 VM 액세스를 사용 설정하는 액세스 규칙을 만들어야 합니다.

    • 관리형 Microsoft AD를 사용하지 않는 경우 VPC 네트워크의 모든 클라이언트에 액세스 권한 부여를 선택합니다.

      관리형 Microsoft AD를 사용하지 않는 경우 지원되는 유일한 보안 설정은 sec=sys입니다.

  3. 만들기를 클릭하여 인스턴스를 만듭니다.

gcloud

  1. gcloud CLI를 설치하고 초기화합니다.

    gcloud CLI가 이미 설치되어 있으면 다음 명령어를 실행하여 업데이트합니다.

    gcloud components update

  2. gcloud beta filestore instances create 명령어를 실행하여 Filestore 영역, 리전 또는 엔터프라이즈 인스턴스를 만듭니다.

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    각 항목의 의미는 다음과 같습니다.

    • INSTANCE_ID는 만들려는 Filestore 인스턴스의 인스턴스 ID입니다. 인스턴스 이름 지정을 참고하세요.
    • DESCRIPTION은 사용할 인스턴스에 대한 설명입니다.
    • LOCATION은 Filestore 인스턴스를 저장할 위치입니다.
    • TIER은 사용할 서비스 등급입니다.
    • PROTOCOLNFS_v4_1입니다.
    • FILE_SHARE_NAME은 인스턴스에서 제공하는 NFS 파일 공유에 지정하는 이름입니다.
    • CAPACITY는 원하는 파일 공유의 크기이며, 1TiB~10TiB입니다.

    • VPC_NETWORK는 인스턴스에서 사용할 VPC 네트워크의 이름입니다. VPC 네트워크 선택을 참고하세요.

      • 서비스 프로젝트에서 공유 VPC를 지정하려면 다음 형식의 정규화된 네트워크 이름을 지정해야 합니다.
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      다음과 같이 connect-mode=PRIVATE_SERVICE_ACCESS를 지정합니다.

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID는 관리형 Microsoft AD 서비스가 있는 프로젝트 ID입니다.

    • MANAGED_AD_DOMAIN_NAME은 사용할 관리형 Microsoft AD 서비스의 도메인 이름입니다. 관리형 Microsoft AD 도메인을 만들 때 이 도메인 이름을 선택합니다.

    • DOMAIN_COMPUTER_ACCOUNT은 도메인에서 클러스터에 지정할 이름입니다.

    • CONSUMER_PROJECT_ID는 Filestore 인스턴스가 포함된 프로젝트의 프로젝트 ID입니다.

    • CONNECT_MODEDIRECT_PEERING 또는 PRIVATE_SERVICE_ACCESS입니다. 공유 VPC를 네트워크로 지정하는 경우 PRIVATE_SERVICE_ACCESS를 연결 모드로 지정해야 합니다. 이 플래그는 관리형 Microsoft AD를 사용할 때 요구사항인 VPC 네트워크 피어링에 필요합니다.

    • RESERVED_IP_RANGE는 Filestore 인스턴스의 IP 주소 범위입니다. connect-mode=PRIVATE_SERVICE_ACCESS를 지정하고 예약된 IP 주소 범위를 사용하려면 CIDR 범위가 아닌 할당된 주소 범위의 이름을 지정해야 합니다. 예약된 IP 주소 구성을 참고하세요. Filestore에서 무료 IP 주소 범위를 자동으로 찾아 인스턴스에 할당할 수 있도록 이 플래그를 건너뛰는 것이 좋습니다.

Filestore 인스턴스에서 관리형 Microsoft AD 연결 해제

Google Cloud 콘솔

  1. 관리형 Microsoft AD에 연결된 Filestore 인스턴스를 연결 해제합니다.

    Google Cloud 콘솔에서 Filestore 인스턴스 페이지로 이동합니다.

    Filestore 인스턴스 페이지로 이동

  2. 수정할 인스턴스의 인스턴스 ID를 클릭합니다.

  3. NFS 마운트 지점 창의 프로토콜에서 디렉터리 서비스 이름 옆에 있는 AD 도메인 연결 해제를 클릭합니다.

  4. 도메인 연결 해제 실패 창에서 알림을 읽은 다음 인스턴스 수정을 클릭합니다.

    액세스 제어의 하나 이상의 규칙이 sys 마운트 보안 설정(예: Access=Admin Mountsec=sys)이 있는 관리자 역할에 매핑되어야 합니다.

  5. 공유 수정 창에서 액세스관리자로 설정된 규칙을 찾습니다. 마운트 sec= ...를 클릭하고 sys를 선택하여 기존 설정에 해당 옵션을 추가합니다.

  6. 확인을 클릭합니다.

  7. 저장을 클릭합니다.

  8. 디렉터리 서비스 이름 옆에 있는 AD 도메인 연결 해제를 클릭합니다.

  9. 도메인에서 연결 해제하시겠어요? 창의 필드에 연결을 해제할 도메인의 이름을 입력합니다.

  10. 연결 해제를 클릭합니다.

액세스 규칙 수정

  1. 페이지를 새로고침합니다. 이제 디렉터리 서비스 이름없음으로 설정됩니다.

  2. 수정을 클릭합니다.

  3. 공유 수정 창에서 관리자가 아닌 역할(예: 편집자)의 액세스 권한을 설정하는 규칙을 찾습니다. 규칙에서 sec= 마운트 ...를 클릭하고 sys를 선택하여 기존 설정에 추가합니다. 확인을 클릭합니다.

  4. 저장을 클릭합니다.

  5. 페이지를 새로고침합니다.

    규칙 설정 업데이트입니다.

관리형 Microsoft AD를 Filestore 인스턴스에 다시 연결

Google Cloud 콘솔

  1. Filestore 인스턴스를 관리형 Microsoft AD에 다시 연결합니다.

    NFS 마운트 지점 창의 프로토콜에서 디렉터리 서비스 이름 옆에 있는 AD 도메인 가입을 클릭합니다.

  2. 이 인스턴스를 Active Directory 도메인에 조인 창에서 현재 프로젝트의 도메인 사용을 선택하고 Active Directory 도메인에 조인 메뉴에서 사용할 도메인을 선택합니다.

  3. 컴퓨터 계정 이름 메뉴에 이름을 입력합니다.

  4. 도메인 가입을 클릭합니다.

  5. 페이지를 새로고침합니다. 디렉터리 서비스 이름이 선택한 항목으로 업데이트되었습니다.

  6. 수정을 클릭합니다.

  7. 공유 수정 창에서 해당되는 모든 규칙의 마운트 sec= ...를 클릭하고 sys 선택을 삭제합니다. 확인을 클릭합니다.

  8. 저장을 클릭합니다.

  9. 페이지를 새로고침합니다.

규칙 설정 업데이트입니다.