使用 Managed Microsoft AD 建立 Filestore 執行個體

建立使用 NFSv4.1 通訊協定和 Managed Microsoft AD 的 Filestore 執行個體。

事前準備

建立新的 Filestore 執行個體前,請確認您有足夠的配額。 執行個體配額範圍取決於您要使用的區域位置和服務層級。如要增加可用配額,請提交配額增加要求

建立代管的 Microsoft AD 網域

如要搭配 Filestore 執行個體使用代管的 Microsoft AD,必須先建立代管的 Microsoft AD 網域,再建立 Filestore 執行個體。

  1. 在同一個專案中,Managed Microsoft AD 網域和 Filestore 執行個體必須使用相同的 VPC

    如果您的 Managed Microsoft AD 服務代管於與要使用的 Filestore 執行個體不同的專案,則 Filestore 虛擬私有雲網路必須與 Managed Microsoft AD 網域建立對等互連。

    詳情請參閱「使用網域對等互連功能,部署可跨專案存取的 Managed Microsoft AD」。

  2. 完成所有設定步驟,建立 Filestore 執行個體

  3. 確認代管 Microsoft AD 使用者已填入 POSIX RFC 2307RFC 2307bis 欄位,如下所示。

    如要進一步瞭解如何在受管理的 Microsoft AD 中設定物件,請參閱「受管理的 Active Directory 物件」。

    Active Directory 使用者和電腦

    下列步驟說明 LDAP 使用者和群組需要設定的屬性。您可以使用 Active Directory Users and Computers MMC 嵌入式管理單元管理 POSIX 屬性。

    按照下列步驟開啟「屬性編輯器」

    1. 按一下「啟動」

    2. 按一下「Windows 管理工具」,然後選取「Active Directory 使用者和電腦」

      「Active Directory 使用者和電腦」視窗隨即開啟。

    3. 選取要查看的網域名稱。如要展開內容,請按一下展開箭頭。

    4. 在「Active Directory 使用者和電腦」的「檢視」選單中,選取「進階功能」

    5. 在左側窗格中,按兩下「使用者」

    6. 在使用者清單中,按兩下使用者即可查看「屬性編輯器」分頁。

      LDAP 使用者必須設定下列屬性:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      每位使用者都必須有不重複的 uidNumber。請注意,uid 屬性的值須區分大小寫。對於 objectClass 屬性, user 是大多數 Active Directory (AD) 部署作業的預設設定。 範例如下:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      LDAP 群組必須設定下列屬性:

      • cn
      • gidNumber
      • objectClass

      每個群組都必須有專屬的 gidNumber。請注意,cn 屬性的值須區分大小寫。對於 objectClass 屬性,大多數 AD 部署作業的預設設定為 group。以下是範例:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. 使用 gcloud projects add-iam-policy-binding 指令,授予 Filestore 權限,在受管理 Microsoft AD 中建立及管理物件:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    更改下列內容:

    • MANAGED_MICROSOFT_AD_PROJECT_ID 是代管 Microsoft AD 網域所在的專案 ID。
    • PROJECT_ID 是 Filestore 執行個體所在專案的專案 ID。

    您可能會看到類似下列內容的錯誤:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    如果是,請使用下列指令解決問題:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

使用代管 Microsoft AD 建立 Filestore 執行個體

Google Cloud 控制台

設定執行個體參數

  1. 前往 Google Cloud 控制台的 Filestore 執行個體頁面。

    前往 Filestore 執行個體頁面

  2. 點選「建立執行個體」

  3. 指定執行個體的基本參數:

    1. 在「Instance ID」(執行個體 ID) 欄位中,輸入要用於 Filestore 執行個體的名稱。

    2. 在「執行個體類型」中,選取「區域」或「可用區」

      如要建立企業執行個體,必須直接透過 Filestore API 執行作業。

    3. 在「已分配容量」中,輸入要使用的容量。您必須輸入介於 1 TB 至 10 TB 之間的值,並以 256 GiB (0.25 TiB) 為單位調整。

    4. 在「Region」(區域) 中,選取要使用的區域。

    5. 在「VPC Network」(虛擬私有雲網路) 中,選取要用於 Filestore 執行個體和 NFS 用戶端的網路。

      • 如果受管理 Microsoft AD 與 Filestore 執行個體位於同一個專案,則必須在受管理 Microsoft AD 網域中授權虛擬私有雲網路。
      • 如果 Managed Microsoft AD 位於不同專案,則應在 Managed Microsoft AD 設定中,為虛擬私有雲網路設定 Active Directory 網路對等互連。

    6. 在「已分配的 IP 範圍」中,選取「使用系統自動分配的 IP 範圍 (建議)」

    7. 在「Protocol」(通訊協定) 中,選取「NFSv4.1」

設定執行個體的驗證設定

  1. 設定執行個體的驗證設定。
    1. 按一下「驗證」
    2. 選取代管 Microsoft AD 的專案。為方便本指南說明,我們假設您要使用目前的專案。在「加入 Active Directory 網域」清單中,選取要使用的受管理 Microsoft AD 網域。
    3. 在「電腦帳戶名稱」欄位中,輸入要用來在受管理 Microsoft AD 網域中識別 Filestore 執行個體的電腦帳戶名稱。名稱長度不得超過 15 個半形英數字元。
    4. 在「File share name」(檔案共用區名稱) 欄位中,輸入 NFSv4.1 用戶端使用的共用區名稱。

  2. 在「Access Control」(存取權控制) 窗格中,完成下列任一步驟:

    • 如果使用 Managed Microsoft AD,請選取「依據 IP 位址或範圍限制存取權」

      1. 依據要定義的 IP 或子網路設定存取規則。在本指南中,請使用下列設定:
      2. 在「IP 位址或範圍 1」欄位中,輸入要使用的 IP 位址或範圍。
      3. 按一下「存取權 1」下拉式清單,然後選取「管理員」。 按一下「Mountsec= 1」下拉式清單,然後選取「sys」核取方塊。

      Filestore 預設 / 擁有者為 root。如要讓其他使用者和群組存取執行個體,您必須建立存取規則,透過 Admin 角色和 sec=sys 安全性設定啟用管理 VM 存取權。

    • 如果未使用 Managed Microsoft AD,請選取「為虛擬私有雲網路中的所有用戶端授予存取權限」

      如果未使用 Managed Microsoft AD,唯一支援的安全設定為 sec=sys

  3. 按一下「建立」,建立執行個體。

gcloud

  1. 安裝並初始化 gcloud CLI

    如果您已安裝 gcloud CLI,請執行下列指令來更新:

    gcloud components update

  2. 執行 gcloud beta filestore instances create 指令,建立 Filestore 區域、地區或企業版執行個體:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    其中:

    • INSTANCE_ID 是要建立的 Filestore 執行個體 ID。請參閱「為執行個體命名」。
    • DESCRIPTION 是要使用的執行個體說明。
    • LOCATION 是您要讓 Filestore 執行個體所在的區域。
    • TIER 是您要使用的服務層級
    • PROTOCOLNFS_v4_1
    • FILE_SHARE_NAME 是您為執行個體提供的 NFS 檔案共用區指定的名稱。
    • CAPACITY 是檔案共用的大小,介於 1 TiB 到 10 TiB 之間。

    • VPC_NETWORK 是您要執行個體使用的 VPC 網路名稱。請參閱「選取 VPC 網路」。

      • 如要從服務專案指定共用虛擬私有雲,必須指定完整網路名稱,格式如下:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      指定 connect-mode=PRIVATE_SERVICE_ACCESS,類似於下列項目:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID 是 Managed Microsoft AD 服務所在的專案 ID。

    • MANAGED_AD_DOMAIN_NAME 是要使用的 Managed Microsoft AD 服務網域名稱。建立 Managed Microsoft AD 網域時,您會選擇這個網域名稱。

    • DOMAIN_COMPUTER_ACCOUNT 是您希望叢集在網域中使用的名稱。

    • CONSUMER_PROJECT_ID 是包含 Filestore 執行個體的專案 ID。

    • CONNECT_MODEDIRECT_PEERINGPRIVATE_SERVICE_ACCESS。 如果您指定共用虛擬私有雲做為網路,則必須同時指定 PRIVATE_SERVICE_ACCESS 做為連線模式。使用代管的 Microsoft AD 時,必須使用虛擬私有雲網路對等互連,因此需要這個旗標。

    • RESERVED_IP_RANGE 是 Filestore 執行個體的 IP 位址範圍。如果您要指定 connect-mode=PRIVATE_SERVICE_ACCESS,並使用保留的 IP 位址範圍,就必須指定已分配的位址範圍名稱,而不是 CIDR 範圍。請參閱設定保留 IP 位址。建議您略過此標記,讓 Filestore 自動尋找可用的 IP 位址範圍並指派給執行個體。

將代管 Microsoft AD 與 Filestore 執行個體中斷連線

Google Cloud 控制台

  1. 中斷與代管 Microsoft AD 連線的 Filestore 執行個體。

    前往 Google Cloud 控制台的 Filestore 執行個體頁面。

    前往 Filestore 執行個體頁面

  2. 按一下您要編輯之執行個體的執行個體 ID。

  3. 在「NFS mount point」(NFS 掛接點) 窗格的「Protocol」(通訊協定) 下方,按一下「Directory service name」(目錄服務名稱) 旁邊的 「Disconnect AD domain」(中斷 AD 網域連線)

  4. 在「無法中斷網域連線」視窗中,閱讀警示訊息,然後按一下「編輯執行個體」

    存取控管中至少有一項規則必須對應至管理員角色,並使用 sys 掛接安全設定,例如「Access=Admin Mount」和「sec=sys」。

  5. 在「編輯共用」窗格中,找出「存取權」設為「管理員」的規則。按一下「掛接」圖示 sec= ...,然後選取 sys,將該選項新增至現有設定。

  6. 按一下 [確定]

  7. 按一下 [儲存]

  8. 在「目錄服務名稱」旁邊,按一下 「取消連結 AD 網域」

  9. 在「要取消網域連結嗎?」視窗的欄位中,輸入要取消連結的網域名稱。

  10. 按一下「解除連結」

編輯存取規則

  1. 重新整理頁面。請注意,「目錄服務名稱」現在已設為「無」

  2. 按一下 [編輯]

  3. 在「編輯共用」窗格中,找出為「管理員」以外的角色設定存取權的規則,例如「編輯者」。在規則中,按一下「掛接 sec= ...」,然後選取 sys,將其新增至現有設定。按一下「確定」

  4. 按一下 [儲存]

  5. 請重新整理頁面。

    更新規則設定。

將代管的 Microsoft AD 重新連線至 Filestore 執行個體

Google Cloud 控制台

  1. 將 Filestore 執行個體重新連線至代管的 Microsoft AD。

    在「NFS mount point」(NFS 掛接點) 窗格中,按一下「Protocol」(通訊協定) 下方「Directory service name」(目錄服務名稱) 旁邊的「Join AD domain」(加入 AD 網域)

  2. 在「將這個執行個體加入 Active Directory 網域」視窗中,選取「使用目前專案中的網域」,然後在「加入 Active Directory 網域」選單中,選取要使用的網域。

  3. 在「電腦帳戶名稱」選單中輸入名稱。

  4. 按一下「加入網域」

  5. 重新整理頁面。請注意,「目錄服務名稱」已更新為您選取的名稱。

  6. 按一下 [編輯]

  7. 在「編輯共用」窗格中,按一下所有適用規則中的「掛接」圖示 sec= ...,然後移除 sys 選項。按一下「確定」

  8. 按一下 [儲存]

  9. 請重新整理頁面。

更新規則設定。