In der folgenden Anleitung erfahren Sie, wie Sie das NFSv4.1-Protokoll mit einer neuen Filestore-Instanz implementieren.
Informationen zu NFSv4.1
Filestore bietet Unterstützung für das NFSv4.1-Protokoll (Vorabversion) für Instanzen, die in Unternehmens- oder zonalen Dienststufen erstellt wurden.
Diese Funktion kann in Managed Service for Microsoft Active Directory (Managed Microsoft AD) eingebunden werden, um Arbeitslasten zu unterstützen, die eine Client- und Serverauthentifizierung, Integritätsprüfungen für Nachrichtendaten und eine Datenverschlüsselung während der Übertragung erfordern. Funktionen, die zuvor in Filestore nicht verfügbar waren.
Die Authentifizierung wird mit LDAP und Kerberos unterstützt und umfasst die folgenden Sicherheitsvarianten (Einstellungen):
- Client- und Serverauthentifizierung (
krb5
). - Nachrichtenintegritätsprüfungen (
krb5i
). Umfasst die Funktionen der vorherigen Einstellung. - Verschlüsselung während der Übertragung (
krb5p
). Umfasst die Funktionen der vorherigen Einstellung.
- Client- und Serverauthentifizierung (
Managed Microsoft AD ist die einzige vollständig verwaltete Google Cloud-Lösung, die sowohl LDAP als auch Kerberos unterstützt, was die Anforderungen an das NFSv4.1-Protokoll und seine Sicherheits- und Datenschutzvorteile erfüllt. Die Einbindung in Managed Microsoft AD ist zwar nicht erforderlich, wird aber für eine optimale Google Cloud-Nutzererfahrung dringend empfohlen, um Nutzerkonten und schwankende Gruppen und Berechtigungen zu verwalten.
Sollte ich NFSv4.1 verwenden?
Viele Unternehmen nutzen Legacy-Systeme für geschäftskritische Vorgänge. Viele dieser Systeme erfordern eine Authentifizierung und Verschlüsselung während der Übertragung für den Netzwerkdateispeicher. NFSv3 wurde nicht für die Authentifizierung entwickelt. Die Integration des NFSv4.1-Protokolls von Filestore in Managed Microsoft AD erfüllt jetzt diese wichtige Nutzeranforderung.
Lernziele
In diesem Leitfaden erfahren Sie, wie Sie die folgenden Aufgaben ausführen:
- Filestore-Instanz erstellen, die NFSv4.1 verwendet
- Managed Microsoft AD mit einer Filestore-Instanz verbinden oder die Verbindung trennen
Filestore-Instanz erstellen, die NFSv4.1 verwendet
Wenn Sie Managed Microsoft AD mit einer Filestore-Instanz verwenden möchten, muss die verwaltete Microsoft AD-Domain vor der Filestore-Instanz erstellt werden.
Hinweise
Sowohl die Managed Microsoft AD-Domain als auch die Filestore-Instanz müssen im selben Projekt dieselbe VPC verwenden.
Wenn Ihr Managed Microsoft AD-Dienst in einem Projekt gehostet wird, das von der Filestore-Instanz getrennt ist, die Sie verwenden möchten, muss das Filestore-VPC-Netzwerk per Peering mit der Managed Microsoft AD-Domain verbunden werden.
Weitere Informationen finden Sie unter Managed Microsoft AD mit projektübergreifendem Zugriff mithilfe von Domain-Peering bereitstellen.
Führen Sie alle Einrichtungsschritte aus, um eine Filestore-Instanz zu erstellen.
Achten Sie darauf, dass für Nutzer von Managed Microsoft AD die Felder POSIX RFC 2307 und RFC 2307bis ausgefüllt sind, ähnlich der folgenden.
Weitere Informationen zum Konfigurieren von Objekten in Managed Microsoft AD finden Sie unter Verwaltete Active Directory-Objekte.
Active Directory-Nutzer und -Computer
In den folgenden Schritten werden die Attribute beschrieben, die Sie für LDAP-Nutzer und -Gruppen festlegen müssen. Sie können POSIX-Attribute mit dem MMC-Snap-in Active Directory-Nutzer und -Computer verwalten.
So öffnen Sie den Attribut-Editor:
- Klicken Sie auf Start.
Klicken Sie auf Windows-Verwaltungstools und wählen Sie Active Directory-Nutzer und -Computer aus.
Das Fenster Active Directory-Nutzer und -Computer wird geöffnet.
Wählen Sie den Domainnamen aus, den Sie aufrufen möchten. Wenn Sie den Inhalt maximieren möchten, klicken Sie auf den
Erweiterungspfeil.Wählen Sie im Menü Ansicht für Nutzer und Computer in Active Directory die Option Erweiterte Features aus.
Doppelklicken Sie im linken Bereich auf Nutzer.
Doppelklicken Sie in der Nutzerliste auf einen Nutzer, um den Tab Attribut-Editor aufzurufen.
Für LDAP-Nutzer müssen die folgenden Attribute festgelegt sein:
uid
uidNumber
cn
gidNumber
objectClass
Jeder Nutzer muss eine eindeutige
uidNumber
haben. Beim Wert für das Attributuid
wird die Groß-/Kleinschreibung beachtet. Für das AttributobjectClass
istuser
in den meisten Bereitstellungen in Active Directory (AD) die Standardeinstellung. Hier ein Beispiel:uid: Alice uidNumber: 139 gidNumber: 555 objectClass: user
Für LDAP-Gruppen müssen die folgenden Attribute festgelegt sein:
cn
gidNumber
objectClass
Jede Gruppe muss eine eindeutige
gidNumber
haben. Beim Wert für das Attributcn
wird die Groß-/Kleinschreibung beachtet. Für das AttributobjectClass
istgroup
in den meisten AD-Bereitstellungen die Standardeinstellung. Hier ein Beispiel:cn: AliceGroup gidNumber: 555 objectClass: group
Gewähren Sie Filestore-Zugriff zum Erstellen und Verwalten von Objekten in Managed Microsoft AD mit dem Befehl
gcloud projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \ --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \ --format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \ --role=roles/managedidentities.filestoreintegrator
Ersetzen Sie Folgendes:
- MANAGED_MICROSOFT_AD_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Managed Microsoft AD-Domain befindet.
- PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Filestore-Instanz befindet.
Möglicherweise wird der folgende Fehler angezeigt:
INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.
Falls ja, führen Sie den folgenden Befehl aus, um das Problem zu beheben:
gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID
Filestore-Instanz mit oder ohne Managed Microsoft AD erstellen
In diesem Abschnitt erstellen Sie eine Filestore-Instanz, die für die Verwendung mit dem NFSv4.1-Protokoll konfiguriert ist. Wenn Nutzer sich gegen die Verwendung von Managed Microsoft AD entscheiden, sind optionale Schritte enthalten.
Achten Sie darauf, dass Ihr Kontingent ausreicht.
Instanzkontingentbereiche nach dem regionalen Standort und der Dienststufe, die Sie verwenden möchten. Wenn Sie das verfügbare Kontingent erhöhen möchten, müssen Sie eine Anfrage zur Kontingenterhöhung senden.
Google Cloud Console
Instanzparameter einrichten
Rufen Sie in der Google Cloud Console die Seite der Filestore-Instanzen auf.
Klicken Sie auf Instanz erstellen.
Geben Sie die grundlegenden Parameter der Instanz an, einschließlich Name, Instanztyp und Kapazität:
- Geben Sie im Feld Instanz-ID den Namen ein, den Sie für die Filestore-Instanz verwenden möchten.
- Wählen Sie unter Instanztyp die Option Enterprise oder Zonal aus.
- Geben Sie unter Zugewiesene Kapazität die Kapazität ein, die Sie verwenden möchten. Sie müssen einen Wert zwischen 1 TB und 10 TB in Schritten von 256 GiB (0, 25 TiB) eingeben.
- Wählen Sie unter Region die Region aus, die Sie verwenden möchten.
- Wählen Sie unter VPC-Netzwerk das Netzwerk aus, das Sie für die Filestore-Instanz und die NFS-Clients verwenden möchten.
- Wenn sich Managed Microsoft AD im selben Projekt wie die Filestore-Instanz befindet, muss das VPC-Netzwerk in der Managed Microsoft AD-Domain autorisiert werden.
- Wenn sich Managed Microsoft AD in einem separaten Projekt befindet, sollte das VPC-Netzwerk mit Active Directory-Netzwerk-Peering in der Managed Microsoft AD-Konfiguration konfiguriert werden.
- Wählen Sie unter Zugewiesener IP-Bereich die Option Automatisch zugewiesenen IP-Bereich verwenden (empfohlen) aus.
- Wählen Sie unter Protokoll die Option NFSv4.1 aus.
Authentifizierungseinstellungen der Instanz konfigurieren
- Konfigurieren Sie die Authentifizierungseinstellungen der Instanz.
- Klicken Sie auf Authentifizierung.
- Wählen Sie das Projekt aus, das Managed Microsoft AD hostet. In diesem Leitfaden gehen wir davon aus, dass wir das aktuelle Projekt verwenden möchten.
- Wählen Sie in der Liste Einer Active Directory-Domain beitreten die verwaltete Microsoft AD-Domain aus, die Sie verwenden möchten.
- Geben Sie im Feld Computerkontoname den Namen des Computerkontos ein, mit dem die Filestore-Instanz in der Managed Microsoft AD-Domain identifiziert werden soll. Der Name darf maximal 15 alphanumerische Zeichen lang sein.
- Geben Sie im Feld Dateifreigabename den Namen der Freigabe ein, wie er von den NFSv4.1-Clients verwendet wird.
Führen Sie im Bereich Zugriffssteuerung einen der folgenden Schritte aus:
Wenn Sie Managed Microsoft AD verwenden, wählen Sie Zugriff nach IP-Adresse oder -Bereich einschränken aus.
- Legen Sie die Zugriffsregel nach IP-Adresse oder Subnetz fest, die Sie definieren möchten. Verwenden Sie für diesen Leitfaden die folgenden Einstellungen:
- Geben Sie im Feld IP-Adresse oder Bereich 1 die IP-Adresse oder den IP-Bereich ein, den Sie verwenden möchten.
- Klicken Sie auf die Drop-down-Liste Zugriff 1 und wählen Sie Administrator aus.
- Klicken Sie auf die Drop-down-Liste Mount
sec=
1 (Bereitstellen) und klicken Sie das Kästchen sys an.
Der standardmäßige
/
-Inhaber von Filestore istroot
. Wenn Sie anderen Nutzern und Gruppen den Zugriff auf die Instanz ermöglichen möchten, müssen Sie eine Zugriffsregel erstellen, die den Zugriff auf die Verwaltungs-VM aktiviert. Verwenden Sie dazu die RolleAdmin
und die Sicherheitseinstellungsec=sys
.Wenn Sie Managed Microsoft AD nicht verwenden, wählen Sie Allen Clients im VPC-Netzwerk Zugriff gewähren aus.
Wenn Managed Microsoft AD nicht verwendet wird, ist
sec=sys
die einzige unterstützte Sicherheitseinstellung.
Klicken Sie auf Erstellen, um die Instanz zu erstellen.
gcloud
Installieren und initialisieren Sie die gcloud CLI.
Wenn Sie die gcloud CLI bereits installiert haben, führen Sie den folgenden Befehl aus, um sie zu aktualisieren:
gcloud components update
Führen Sie einen der folgenden Schritte aus:
Wenn Sie Managed Microsoft AD verwenden, führen Sie den folgenden
gcloud beta filestore instances create
-Befehl aus, um eine Filestore-Unternehmens- oder zonale Instanz zu erstellen:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \ --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \ --project=CONSUMER_PROJECT_ID
Ersetzen Sie Folgendes:
- INSTANCE_ID ist die Instanz-ID der Filestore-Instanz, die Sie erstellen möchten. Siehe Instanz benennen.
- DESCRIPTION ist die Beschreibung der Instanz, die Sie verwenden möchten.
- LOCATION ist der Speicherort, an dem sich die Filestore-Instanz befinden soll.
- TIER ist die Dienststufe, die Sie verwenden möchten.
- PROTOCOL ist
NFS_v4_1
. - FILE_SHARE_NAME ist der Name, den Sie für die NFS-Dateifreigabe angeben, die von der Instanz bereitgestellt wird.
- CAPACITY ist die gewünschte Dateigröße zwischen 1 TiB und 10 TiB.
VPC_NETWORK ist der Name des VPC-Netzwerks, das die Instanz verwenden soll. Siehe VPC-Netzwerk auswählen. Wenn Sie eine freigegebene VPC aus einem Dienstprojekt angeben möchten, müssen Sie den voll qualifizierten Netzwerknamen im Format
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME
sowieconnect-mode=PRIVATE_SERVICE_ACCESS
angeben, etwa so:--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS
Sie können für den Wert vpc_network kein Legacy-Netzwerk angeben. Erstellen Sie bei Bedarf ein neues VPC-Netzwerk. Folgen Sie dazu der Anleitung unter VPC-Netzwerk im automatischen Modus erstellen.
MANAGED_AD_PROJECT_ID ist die ID des Projekts, in dem sich der verwaltete Microsoft AD-Dienst befindet.
MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten. Es ist der Domainname, den Sie beim Erstellen einer Managed Microsoft AD-Domain auswählen.
DOMAIN_COMPUTER_ACCOUNT ist ein beliebiger Name, mit dem der Cluster in der Domain aufgerufen werden soll.
CONSUMER_PROJECT_ID ist die Projekt-ID des Projekts, das die Filestore-Instanz enthält.
CONNECT_MODE ist
DIRECT_PEERING
oderPRIVATE_SERVICE_ACCESS
. Wenn Sie eine freigegebene VPC als Netzwerk angeben, müssen Sie auchPRIVATE_SERVICE_ACCESS
als Verbindungsmodus angeben. Dieses Flag ist für VPC-Netzwerk-Peering erforderlich, das bei Verwendung von Managed Microsoft AD eine Voraussetzung ist.RESERVED_IP_RANGE ist der IP-Adressbereich für die Filestore-Instanz. Wenn Sie
connect-mode=PRIVATE_SERVICE_ACCESS
angeben und einen reservierten IP-Adressbereich verwenden möchten, müssen Sie den Namen eines zugewiesenen Adressbereichs anstelle eines CIDR-Bereichs angeben. Weitere Informationen finden Sie unter Reservierte IP-Adresse konfigurieren. Wir empfehlen, dieses Flag zu überspringen, damit Filestore automatisch einen freien IP-Adressbereich finden und der Instanz zuweisen kann.
Wenn Sie Managed Microsoft AD nicht verwenden, führen Sie denselben Befehl wie im vorherigen Schritt aus, um eine Filestore-Instanz zu erstellen. Lassen Sie dabei das Flag
--managed-ad
und die Flags für VPC-Netzwerk-Peering, alsoconnect-mode
undreserved-ip-range
, weg. Verwenden Sie den folgenden Befehl als Beispiel:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK" \ --project=CONSUMER_PROJECT_ID
Netzwerkbasierte Access Control Lists (ACLs) in NFSv4.1
In NFSv3 wird nur die Sicherheitsvariante sys
unterstützt. Diese Einstellung vertraut dem Nutzer uid
und gid
, die vom Client während der Bereitstellung angegeben wurden.
Im Filestore-NFSv4.1-Protokoll sind mehrere Sicherheitsvarianten oder -einstellungen für Netzwerk-ACLs verfügbar:
krb5
Authentifizierung des Clients mithilfe eines Kerberos-Tickets, das mit dem Managed Microsoft AD Kerberos-Server validiert wird.
krb5i
Umfasst die von
krb5
bereitgestellte Authentifizierung und nutzt Kerberos, um die Nachrichtenintegritätsprüfungen für den gesamten Netzwerkverkehr zur und von der Instanz durchzuführen.krb5p
Umfasst die Authentifizierung von
krb5
und die Nachrichtenintegritätsprüfungen vonkrb5i
. Außerdem wird Kerberos zur Verschlüsselung von Daten während der Übertragung verwendet.
Wenn Sie diese Optionen nutzen möchten, ist die Einbindung von Managed Service for Microsoft Active Directory erforderlich.
Wenn keine Managed Service for Microsoft Active Directory-Domain angegeben ist, wird nur die Sicherheits-Flavor sys
unterstützt.
Weitere Informationen finden Sie unter Einschränkungen für NFSv4.1.
Filestore-NFSv4.1-Instanzen auf Linux-Clients bereitstellen
Die folgenden Schritte zeigen, wie Sie Instanzen auf Linux-Clients bereitstellen.
Stellen Sie mit
sec=sys
für Standard-NFS-Berechtigungen bereit:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Mit
sec=krb5
für Kerberos-basierte Authentifizierung bereitstellen:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Mit
sec=krb5i
für die Kerberos-basierte Authentifizierung und Prüfungen der Nachrichtenintegrität bereitstellen:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Stellen Sie die Bereitstellung mit
sec=krb5p
für Kerberos-basierte Authentifizierung, Integritätsprüfungen und Verschlüsselung während der Übertragung bereit:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Ersetzen Sie Folgendes:
- FILESTORE-INSTANCE-FQDN ist der vollständig qualifizierte Domainname, unter dem sich die Filestore-Instanz befindet.
- INSTANCE_SHARE_POINT ist der Dateifreigabename der Filestore-Instanz, zu der Sie eine Verbindung herstellen möchten.
- MOUNT_POINT ist der Bereitstellungspunkt oder Verzeichnisname, an dem Sie die Bereitstellung vornehmen möchten.
Linux-Clientkonfiguration
Eine NFSv4.1 Filestore-Instanz ermöglicht es Clients, NFS-Vorgänge mit verschiedenen Sicherheitsvarianten auszuführen. Diese Geschmacksrichtungen werden vom Instanzadministrator über Netzwerk-ACLs auf der Filestore-NFSv4.1-Instanz konfiguriert, während der Erstellung oder wenn nach dem Erstellen aktualisiert wird.
Die Sicherheitsvariante sys
verwendet die standardmäßige Unix-Authentifizierung, während für die Varianten krb5
, krb5i
und krb5p
die Kerberos-basierte Authentifizierung verwendet wird.
Bei den Varianten krb5
, krb5i
und krb5p
müssen die Clients mit derselben verwalteten Microsoft AD-Domain wie die Filestore-Instanz verbunden sein.
Führen Sie die folgenden Schritte entsprechend Ihrer Umgebung aus.
Ubuntu-Image
- Stellen Sie eine SSH-Verbindung zur Compute Engine-Instanz her.
Führen Sie die folgenden Befehle aus, um der Managed Microsoft AD-Domain beizutreten.
Führen Sie den folgenden Einrichtungsbefehl aus:
sudo apt-get update \ sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry
Wenn Sie nach „Bereich“ gefragt werden, ersetzen Sie den vorhandenen Eintrag durch die verwaltete Microsoft AD-Domain, die für die Filestore-Instanz verwendet wird. Geben Sie den Wert in Großbuchstaben ein. Drücken Sie dann die Pfeiltaste, um OK auszuwählen, und drücken Sie die Eingabetaste.
Wenn Sie nach Hosts gefragt werden, lassen Sie das Feld leer und fahren Sie fort.
Führen Sie einen der folgenden Schritte aus:
Führen Sie für VMs mit einer Hostnamenlänge von maximal 15 Zeichen den folgenden Befehl aus:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
Ersetzen Sie Folgendes:
- JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
- MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
Führen Sie für VMs mit einer Hostnamenlänge von mehr als 15 Zeichen den folgenden Befehl aus:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
Ersetzen Sie Folgendes:
- JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
- MANAGED_AD_REALM_NAME ist der Bereichsname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
- MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
Kerberos-Konfiguration aktualisieren. Aktualisieren Sie
/etc/krb5.conf
mit der erforderlichen Bereichsdefinition und der Bereichsdomain-Zuordnung:[realms] DOMAIN_NAME = { kdc = DOMAIN_NAME default_domain = DOMAIN_NAME } [domain_realm] .domain_name_lowercase = DOMAIN_NAME domain_name_lowercase = DOMAIN_NAME
Ersetzen Sie Folgendes:
- DOMAIN_NAME ist der zu verwendende Domainname in Großbuchstaben.
- domain_name_lowercase ist der zu verwendende Domainname in Kleinbuchstaben.
Hier ein Beispiel:
[realms] FILE.DEMO.LOCAL = { kdc = FILE.DEMO.LOCAL default_domain = FILE.DEMO.LOCAL } [domain_realm] .file.demo.local = FILE.DEMO.LOCAL file.demo.local = FILE.DEMO.LOCAL
Führen Sie den Dienst RPC-gssd aus. Fügen Sie den folgenden
No-Strip
-Attributwert in den Abschnitt[General]
innerhalb von/etc/idmapd.conf
ein:[General] No-Strip = both
Führen Sie dazu diesen Befehl aus:
sudo systemctl restart rpc-gssd
Centos-Bild
- Mit Ssh zur Compute Engine-Instanz verbinden
Treten Sie der Managed Microsoft AD-Domain bei:
sudo yum update \ sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients
Führen Sie einen der folgenden Schritte aus:
Führen Sie für VMs mit einer Hostnamenlänge von maximal 15 Zeichen den folgenden Befehl aus:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
Ersetzen Sie Folgendes:
- JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
- MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
Führen Sie für VMs mit einer Hostnamenlänge von mehr als 15 Zeichen den folgenden Befehl aus:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
Ersetzen Sie Folgendes:
- JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
- MANAGED_AD_REALM_NAME ist der Bereichsname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
- MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
Prüfen Sie, ob der sssd-Dienst ausgeführt wird:
sudo systemctl status sssd
Führen Sie den Dienst RPC-gssd aus. Fügen Sie unter dem Wert des Attributs
No-Strip
im Abschnitt[General]
innerhalb von/etc/idmapd.conf
Folgendes hinzu:[General] No-Strip = both
Führen Sie den folgenden Befehl aus: Mit diesem Befehl sorgen Sie dafür, dass der NFS-Client den Domainnamen nicht aus dem Hostnamen des NFS-Servers entfernt. Weitere Informationen finden Sie unter NFS Ganesha List Archives und Arch Linux Archive:
sudo systemctl start rpc-gssd
Verbindung zu Managed Microsoft AD von einer Filestore-Instanz trennen und wieder herstellen
Google Cloud Console
Verwaltetes Microsoft AD von einer Filestore-Instanz trennen
Verbindung zu einer Filestore-Instanz trennen, die mit Managed Microsoft AD verbunden ist.
Rufen Sie in der Google Cloud Console die Seite Filestore-Instanzen auf.
Klicken Sie auf die ID der Instanz, die Sie bearbeiten möchten.
Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Name des Verzeichnisdienstes auf
Verbindung zu AD-Domain trennen.Lesen Sie im Fenster Verbindung zur Domain fehlgeschlagen die Benachrichtigung und klicken Sie dann auf Instanz bearbeiten.
Mindestens eine Regel in der Zugriffssteuerung muss der Administratorrolle mit der Bereitstellungssicherheitseinstellung
sys
zugeordnet sein, z. B. Access=Admin Mount undsec=
sys.Suchen Sie im Bereich Freigabe bearbeiten die Regel, in der Zugriff auf Administrator festgelegt ist. Klicken Sie auf Bereitstellen
sec=
... und wählen Siesys
aus, um diese Option der vorhandenen Einstellung hinzuzufügen.Klicken Sie auf OK.
Klicken Sie auf Speichern.
Klicken Sie neben Verzeichnisdienstname auf
AD-Domain trennen.Geben Sie im Fenster Verbindung zur Domain trennen? den Namen der Domain ein, zu der Sie die Verbindung aufheben möchten.
Klicken Sie auf Verbindung trennen.
Zugriffsregeln bearbeiten
Aktualisieren Sie die Seite. Beachten Sie, dass Directory service name (Verzeichnisdienstname) jetzt auf None festgelegt ist.
Klicken Sie auf Bearbeiten.
Suchen Sie im Bereich Freigabe bearbeiten nach jeder Regel, die den Zugriff für eine andere Rolle als Administrator festlegt, z. B. Bearbeiter. Klicken Sie in der Regel auf Bereitstellen
sec=
... und wählen Siesys
aus, um sie der vorhandenen Einstellung hinzuzufügen. Klicken Sie auf OK.Klicken Sie auf Speichern.
Aktualisieren Sie die Seite.
Die Regeleinstellungen werden aktualisiert.
Verwaltetes Microsoft AD noch einmal mit Filestore-Instanz verbinden
Filestore-Instanz noch einmal mit Managed Microsoft AD verbinden
Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Verzeichnisdienstname auf
AD-Domain beitreten.Wählen Sie im Fenster Diese Instanz mit einer Active Directory-Domain verknüpfen die Option Domains aus dem aktuellen Projekt verwenden und im Menü Active Directory-Domain verknüpfen die Domain aus, die Sie verwenden möchten.
Geben Sie im Menü Computerkontoname einen Namen ein.
Klicken Sie auf Domain beitreten.
Aktualisieren Sie die Seite. Beachten Sie, dass Directory service name (Verzeichnisdienstname) mit Ihrer Auswahl aktualisiert wurde.
Klicken Sie auf Bearbeiten.
Klicken Sie im Bereich Freigabe bearbeiten in allen anwendbaren Regeln auf
sec=
bereitstellen ... und entfernen Sie die Auswahlsys
. Klicken Sie auf OK.Klicken Sie auf Speichern.
Aktualisieren Sie die Seite.
Die Regeleinstellungen werden aktualisiert.
Nächste Schritte
- Filestore-Instanz bearbeiten
- Instanz in einem freigegebene VPC-Netzwerk in Dienstprojekten erstellen