创建使用 NFSv4.1 协议且与代管式 Microsoft AD 集成的 Filestore 实例。
准备工作
在创建新的 Filestore 实例之前,请确保您有足够的配额。实例配额范围取决于您要使用的区域位置和服务层级。如需增加可用配额,您必须提交增加配额请求。
创建托管式 Microsoft AD 网域
如果您想将代管式 Microsoft AD 与 Filestore 实例搭配使用,则必须先创建代管式 Microsoft AD 网域,然后再创建 Filestore 实例。
在同一项目中,托管式 Microsoft AD 网域和 Filestore 实例必须使用相同的 VPC。
如果您的 Managed Microsoft AD 服务托管在与您要使用的 Filestore 实例不同的项目中,则 Filestore VPC 网络需要与 Managed Microsoft AD 网域对等互连。
如需了解详情,请参阅使用网域对等互联部署具有跨项目访问权限的 Managed Microsoft AD。
确保托管式 Microsoft AD 用户已填充 POSIX RFC 2307 和 RFC 2307bis 字段,如下所示。
如需详细了解如何在 Managed Microsoft AD 中配置对象,请参阅托管式 Active Directory 对象。
Active Directory 用户和计算机
以下步骤介绍了需要为 LDAP 用户和群组设置的属性。您可以使用 Active Directory 用户和计算机 MMC 管理单元来管理 POSIX 属性。
按以下步骤打开属性编辑器:
- 点击开始。
点击 Windows 管理工具,然后选择 Active Directory 用户和计算机。
系统会打开 Active Directory 用户和计算机窗口。
选择要查看的域名。如需展开其内容,请点击展开箭头。
在“Active Directory 用户和计算机”的查看菜单中,选择高级功能。
在左侧窗格中,双击用户。
在用户列表中,双击某个用户以查看其属性编辑器标签页。
LDAP 用户必须设置以下属性:
uiduidNumbercngidNumberobjectClass
每个用户的
uidNumber都必须是唯一的。请注意,uid属性的值区分大小写。对于objectClass属性,user是大多数 Active Directory (AD) 部署中的默认设置。 下面给出了一个示例:uid: Alice uidNumber: 139 gidNumber: 555 objectClass: userLDAP 群组必须设置以下属性:
cngidNumberobjectClass
每个群组都必须具有唯一的
gidNumber。请注意,cn属性的值区分大小写。对于objectClass属性,group是大多数 AD 部署中的默认设置。示例如下:cn: AliceGroup gidNumber: 555 objectClass: group
使用
gcloud projects add-iam-policy-binding命令授予 Filestore 权限,以便在托管式 Microsoft AD 中创建和管理对象:gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \ --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \ --format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \ --role=roles/managedidentities.filestoreintegrator替换以下内容:
- MANAGED_MICROSOFT_AD_PROJECT_ID 是托管式 Microsoft AD 网域所在项目的项目 ID。
- PROJECT_ID 是 Filestore 实例所在项目的项目 ID。
您可能会看到类似于以下内容的错误:
INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.如果确实如此,请使用以下命令来解决此问题:
gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID
创建使用托管式 Microsoft AD 的 Filestore 实例
Google Cloud 控制台
设置实例参数
在 Google Cloud 控制台中,前往“Filestore 实例”页面。
点击创建实例。
指定实例的基本参数:
- 在实例 ID 字段中,输入您要用于 Filestore 实例的名称。
在实例类型中,选择区域级或可用区级。
如需创建企业实例,您必须直接通过 Filestore API 运行操作。
在分配的容量中,输入要使用的容量。您必须输入一个介于 1 TB 和 10 TB 之间的值,以 256 GiB (0.25 TiB) 为增量。
在区域中,选择您要使用的区域。
在 VPC 网络中,选择要用于 Filestore 实例和 NFS 客户端的网络。
- 如果托管式 Microsoft AD 与 Filestore 实例位于同一项目中,则需要在托管式 Microsoft AD 网域中授权 VPC 网络。
- 如果托管式 Microsoft AD 位于单独的项目中,则应在托管式 Microsoft AD 配置中为 VPC 网络配置 Active Directory 网络对等互连。
在分配的 IP 范围中,选择使用自动分配的 IP 范围(建议)。
在协议中,选择 NFSv4.1。
配置实例的身份验证设置
- 配置实例的身份验证设置。
- 点击身份验证。
- 选择托管代管式 Microsoft AD 的项目。在本指南中,我们假设当前项目是我们要使用的项目。 在加入 Active Directory 域列表中,选择要使用的 Managed Microsoft AD 域。
- 在计算机账号名称字段中,输入您要用于在托管式 Microsoft AD 网域中标识 Filestore 实例的计算机账号名称。名称的长度不得超过 15 个字母数字字符。
- 在文件共享名称字段中,输入共享的名称,NFSv4.1 客户端将使用该名称。
在访问权限控制窗格中,完成以下任一步骤:
如果使用受管 Microsoft AD,请选择根据 IP 地址或范围限制访问权限。
- 按您要定义的 IP 或子网设置访问规则。在本指南中,请使用以下设置:
- 在 IP 地址或范围 1 字段中,输入要使用的 IP 地址或范围。
- 点击 Access 1(访问权限 1)下拉列表,然后选择 Admin(管理员)。
点击 Mount
sec=1 下拉列表,然后选中 sys 复选框。
Filestore 默认
/所有者为root。如需允许其他用户和群组访问实例,您必须创建一条访问规则,以使用Admin角色和sec=sys安全设置来启用管理虚拟机访问权限。如果您不使用受管 Microsoft AD,请选择向 VPC 网络中的所有客户端授予访问权限。
如果未使用托管式 Microsoft AD,则唯一受支持的安全设置是
sec=sys。
点击创建以创建实例。
gcloud
-
如果您已安装 gcloud CLI,请运行以下命令进行更新:
gcloud components update 运行
gcloud beta filestore instances create命令以创建 Filestore 可用区级、区域级或企业级实例:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \ --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \ --project=CONSUMER_PROJECT_ID其中:
- INSTANCE_ID 是您要创建的 Filestore 实例的实例 ID。请参阅为实例命名。
- DESCRIPTION 是您要使用的实例的说明。
- LOCATION 是您希望 Filestore 实例所在的位置。
- TIER 是您要使用的服务层级。
- PROTOCOL 为
NFS_v4_1。 - FILE_SHARE_NAME 是您为从实例提供的 NFS 文件共享所指定的名称。
- CAPACITY 是文件共享所需的大小,介于 1 TiB 到 10 TiB 之间。
VPC_NETWORK 是您希望实例使用的 VPC 网络的名称。请参阅选择 VPC 网络。
- 如果您要在服务项目中指定共享 VPC,则必须指定完全限定的网络名称,其格式如下:
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME指定
connect-mode=PRIVATE_SERVICE_ACCESS,类似于以下内容:--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS- 您不能为 vpc_network 值指定旧版网络。如有必要,请按照创建自动模式 VPC 网络中的说明创建要使用的新 VPC 网络。
MANAGED_AD_PROJECT_ID 是代管式 Microsoft AD 服务所在的项目 ID。
MANAGED_AD_DOMAIN_NAME 是您要使用的托管式 Microsoft AD 服务的域名。您可以在创建托管式 Microsoft AD 网域时选择此域名。
DOMAIN_COMPUTER_ACCOUNT 是您希望集群在网域中使用的任何名称。
CONSUMER_PROJECT_ID 是包含 Filestore 实例的项目的项目 ID。
CONNECT_MODE 是
DIRECT_PEERING或PRIVATE_SERVICE_ACCESS。 如果您指定共享 VPC 作为网络,则还必须指定PRIVATE_SERVICE_ACCESS作为连接模式。此标志是 VPC 网络对等互连所必需的,而使用托管式 Microsoft AD 时必须进行 VPC 网络对等互连。RESERVED_IP_RANGE 是 Filestore 实例的 IP 地址范围。如果您指定
connect-mode=PRIVATE_SERVICE_ACCESS,并且您希望使用预留的 IP 地址范围,则必须指定已分配的地址范围(而不是 CIDR 范围)的名称。请参阅配置预留 IP 地址。 我们建议您跳过此标志,以允许 Filestore 自动查找可用的 IP 地址范围并将其分配给实例。
将代管式 Microsoft AD 与 Filestore 实例断开连接
Google Cloud 控制台
断开已连接到代管式 Microsoft AD 的 Filestore 实例。
在 Google Cloud 控制台中,前往“Filestore 实例”页面。
点击要修改的实例的 ID。
在 NFS 装载点窗格中,依次点击协议下目录服务名称旁边的 断开 AD 网域。
在与网域断开连接失败窗口中,阅读提醒,然后点击修改实例。
访问权限控制中的至少一条规则必须映射到具有
sys装载安全设置的管理员角色,例如 Access=Admin Mount 和sec=sys。在修改共享窗格中,找到访问权限设置为管理员的规则。点击装载
sec=...,然后选择sys以将该选项添加到现有设置中。点击确定。
点击保存。
在目录服务名称旁边,点击 断开与 AD 网域的连接。
在要断开与网域的连接吗?窗口中的字段中,输入您要断开连接的网域的名称。
点击取消关联。
修改访问规则
刷新页面。请注意,目录服务名称现已设置为无。
点击修改。
在修改共享窗格中,找到为管理员以外的角色(例如编辑者)设置访问权限的任何规则。在规则中,点击装载
sec=...,然后选择sys以将其添加到现有设置中。点击确定。点击保存。
刷新页面。
规则设置更新。
将 Managed Microsoft AD 重新连接到 Filestore 实例
Google Cloud 控制台
将 Filestore 实例重新连接到 Managed Microsoft AD。
在 NFS 装载点窗格中,依次点击协议下目录服务名称旁边的 加入 AD 网域。
在将此实例加入 Active Directory 网域窗口中,选择使用当前项目中的网域,然后在加入 Active Directory 网域菜单中,选择要使用的网域。
在计算机账号名称菜单中,输入一个名称。
点击加入网域。
刷新页面。请注意,目录服务名称已根据您的选择进行更新。
点击修改。
在修改共享窗格中,点击所有适用规则中的装载
sec=...,然后移除sys选择。点击确定。点击保存。
刷新页面。
规则设置更新。