NFSv4.1-Protokoll konfigurieren

In der folgenden Anleitung erfahren Sie, wie Sie das NFSv4.1-Protokoll mit einer neuen Filestore-Instanz implementieren.

Informationen zu NFSv4.1

Filestore bietet Unterstützung für das NFSv4.1-Protokoll (Vorabversion) für Instanzen, die in Unternehmens- oder zonalen Dienststufen erstellt wurden.

Diese Funktion kann in Managed Service for Microsoft Active Directory (Managed Microsoft AD) eingebunden werden, um Arbeitslasten zu unterstützen, die eine Client- und Serverauthentifizierung, Integritätsprüfungen für Nachrichtendaten und eine Datenverschlüsselung während der Übertragung erfordern. Funktionen, die zuvor in Filestore nicht verfügbar waren.

  • Die Authentifizierung wird mit LDAP und Kerberos unterstützt und umfasst die folgenden Sicherheitsvarianten (Einstellungen):

    • Client- und Serverauthentifizierung (krb5).
    • Nachrichtenintegritätsprüfungen (krb5i). Umfasst die Funktionen der vorherigen Einstellung.
    • Verschlüsselung während der Übertragung (krb5p). Umfasst die Funktionen der vorherigen Einstellung.

Managed Microsoft AD ist die einzige vollständig verwaltete Google Cloud-Lösung, die sowohl LDAP als auch Kerberos unterstützt, was die Anforderungen an das NFSv4.1-Protokoll und seine Sicherheits- und Datenschutzvorteile erfüllt. Die Einbindung in Managed Microsoft AD ist zwar nicht erforderlich, wird aber für eine optimale Google Cloud-Nutzererfahrung dringend empfohlen, um Nutzerkonten und schwankende Gruppen und Berechtigungen zu verwalten.

Sollte ich NFSv4.1 verwenden?

Viele Unternehmen nutzen Legacy-Systeme für geschäftskritische Vorgänge. Viele dieser Systeme erfordern eine Authentifizierung und Verschlüsselung während der Übertragung für den Netzwerkdateispeicher. NFSv3 wurde nicht für die Authentifizierung entwickelt. Die Integration des NFSv4.1-Protokolls von Filestore in Managed Microsoft AD erfüllt jetzt diese wichtige Nutzeranforderung.

Lernziele

In diesem Leitfaden erfahren Sie, wie Sie die folgenden Aufgaben ausführen:

Filestore-Instanz erstellen, die NFSv4.1 verwendet

Wenn Sie Managed Microsoft AD mit einer Filestore-Instanz verwenden möchten, muss die verwaltete Microsoft AD-Domain vor der Filestore-Instanz erstellt werden.

Hinweise

  1. Sowohl die Managed Microsoft AD-Domain als auch die Filestore-Instanz müssen im selben Projekt dieselbe VPC verwenden.

    Wenn Ihr Managed Microsoft AD-Dienst in einem Projekt gehostet wird, das von der Filestore-Instanz getrennt ist, die Sie verwenden möchten, muss das Filestore-VPC-Netzwerk per Peering mit der Managed Microsoft AD-Domain verbunden werden.

    Weitere Informationen finden Sie unter Managed Microsoft AD mit projektübergreifendem Zugriff mithilfe von Domain-Peering bereitstellen.

  2. Führen Sie alle Einrichtungsschritte aus, um eine Filestore-Instanz zu erstellen.

  3. Achten Sie darauf, dass für Nutzer von Managed Microsoft AD die Felder POSIX RFC 2307 und RFC 2307bis ausgefüllt sind, ähnlich der folgenden.

    Weitere Informationen zum Konfigurieren von Objekten in Managed Microsoft AD finden Sie unter Verwaltete Active Directory-Objekte.

    Active Directory-Nutzer und -Computer

    In den folgenden Schritten werden die Attribute beschrieben, die Sie für LDAP-Nutzer und -Gruppen festlegen müssen. Sie können POSIX-Attribute mit dem MMC-Snap-in Active Directory-Nutzer und -Computer verwalten.

    So öffnen Sie den Attribut-Editor:

    1. Klicken Sie auf Start.

    2. Klicken Sie auf Windows-Verwaltungstools und wählen Sie Active Directory-Nutzer und -Computer aus.

      Das Fenster Active Directory-Nutzer und -Computer wird geöffnet.

    3. Wählen Sie den Domainnamen aus, den Sie aufrufen möchten. Wenn Sie den Inhalt maximieren möchten, klicken Sie auf den Erweiterungspfeil.

    4. Wählen Sie im Menü Ansicht für Nutzer und Computer in Active Directory die Option Erweiterte Features aus.

    5. Doppelklicken Sie im linken Bereich auf Nutzer.

    6. Doppelklicken Sie in der Nutzerliste auf einen Nutzer, um den Tab Attribut-Editor aufzurufen.

      Für LDAP-Nutzer müssen die folgenden Attribute festgelegt sein:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Jeder Nutzer muss eine eindeutige uidNumber haben. Beim Wert für das Attribut uid wird die Groß-/Kleinschreibung beachtet. Für das Attribut objectClass ist user in den meisten Bereitstellungen in Active Directory (AD) die Standardeinstellung. Hier ein Beispiel:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Für LDAP-Gruppen müssen die folgenden Attribute festgelegt sein:

      • cn
      • gidNumber
      • objectClass

      Jede Gruppe muss eine eindeutige gidNumber haben. Beim Wert für das Attribut cn wird die Groß-/Kleinschreibung beachtet. Für das Attribut objectClass ist group in den meisten AD-Bereitstellungen die Standardeinstellung. Hier ein Beispiel:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Gewähren Sie Filestore-Zugriff zum Erstellen und Verwalten von Objekten in Managed Microsoft AD mit dem Befehl gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Ersetzen Sie Folgendes:

    • MANAGED_MICROSOFT_AD_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Managed Microsoft AD-Domain befindet.
    • PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Filestore-Instanz befindet.

    Möglicherweise wird der folgende Fehler angezeigt:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    Falls ja, führen Sie den folgenden Befehl aus, um das Problem zu beheben:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Filestore-Instanz mit oder ohne Managed Microsoft AD erstellen

In diesem Abschnitt erstellen Sie eine Filestore-Instanz, die für die Verwendung mit dem NFSv4.1-Protokoll konfiguriert ist. Wenn Nutzer sich gegen die Verwendung von Managed Microsoft AD entscheiden, sind optionale Schritte enthalten.

  • Achten Sie darauf, dass Ihr Kontingent ausreicht.

    Instanzkontingentbereiche nach dem regionalen Standort und der Dienststufe, die Sie verwenden möchten. Wenn Sie das verfügbare Kontingent erhöhen möchten, müssen Sie eine Anfrage zur Kontingenterhöhung senden.

Google Cloud Console

Instanzparameter einrichten

  1. Rufen Sie in der Google Cloud Console die Seite der Filestore-Instanzen auf.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie die grundlegenden Parameter der Instanz an, einschließlich Name, Instanztyp und Kapazität:

    1. Geben Sie im Feld Instanz-ID den Namen ein, den Sie für die Filestore-Instanz verwenden möchten.
    2. Wählen Sie unter Instanztyp die Option Enterprise oder Zonal aus.
    3. Geben Sie unter Zugewiesene Kapazität die Kapazität ein, die Sie verwenden möchten. Sie müssen einen Wert zwischen 1 TB und 10 TB in Schritten von 256 GiB (0, 25 TiB) eingeben.
    4. Wählen Sie unter Region die Region aus, die Sie verwenden möchten.
    5. Wählen Sie unter VPC-Netzwerk das Netzwerk aus, das Sie für die Filestore-Instanz und die NFS-Clients verwenden möchten.
      • Wenn sich Managed Microsoft AD im selben Projekt wie die Filestore-Instanz befindet, muss das VPC-Netzwerk in der Managed Microsoft AD-Domain autorisiert werden.
      • Wenn sich Managed Microsoft AD in einem separaten Projekt befindet, sollte das VPC-Netzwerk mit Active Directory-Netzwerk-Peering in der Managed Microsoft AD-Konfiguration konfiguriert werden.
    6. Wählen Sie unter Zugewiesener IP-Bereich die Option Automatisch zugewiesenen IP-Bereich verwenden (empfohlen) aus.
    7. Wählen Sie unter Protokoll die Option NFSv4.1 aus.

Authentifizierungseinstellungen der Instanz konfigurieren

  1. Konfigurieren Sie die Authentifizierungseinstellungen der Instanz.
    1. Klicken Sie auf Authentifizierung.
    2. Wählen Sie das Projekt aus, das Managed Microsoft AD hostet. In diesem Leitfaden gehen wir davon aus, dass wir das aktuelle Projekt verwenden möchten.
    3. Wählen Sie in der Liste Einer Active Directory-Domain beitreten die verwaltete Microsoft AD-Domain aus, die Sie verwenden möchten.
    4. Geben Sie im Feld Computerkontoname den Namen des Computerkontos ein, mit dem die Filestore-Instanz in der Managed Microsoft AD-Domain identifiziert werden soll. Der Name darf maximal 15 alphanumerische Zeichen lang sein.
    5. Geben Sie im Feld Dateifreigabename den Namen der Freigabe ein, wie er von den NFSv4.1-Clients verwendet wird.

  2. Führen Sie im Bereich Zugriffssteuerung einen der folgenden Schritte aus:

    • Wenn Sie Managed Microsoft AD verwenden, wählen Sie Zugriff nach IP-Adresse oder -Bereich einschränken aus.

      1. Legen Sie die Zugriffsregel nach IP-Adresse oder Subnetz fest, die Sie definieren möchten. Verwenden Sie für diesen Leitfaden die folgenden Einstellungen:
      2. Geben Sie im Feld IP-Adresse oder Bereich 1 die IP-Adresse oder den IP-Bereich ein, den Sie verwenden möchten.
      3. Klicken Sie auf die Drop-down-Liste Zugriff 1 und wählen Sie Administrator aus.
      4. Klicken Sie auf die Drop-down-Liste Mountsec= 1 (Bereitstellen) und klicken Sie das Kästchen sys an.

      Der standardmäßige /-Inhaber von Filestore ist root. Wenn Sie anderen Nutzern und Gruppen den Zugriff auf die Instanz ermöglichen möchten, müssen Sie eine Zugriffsregel erstellen, die den Zugriff auf die Verwaltungs-VM aktiviert. Verwenden Sie dazu die Rolle Admin und die Sicherheitseinstellung sec=sys.

    • Wenn Sie Managed Microsoft AD nicht verwenden, wählen Sie Allen Clients im VPC-Netzwerk Zugriff gewähren aus.

      Wenn Managed Microsoft AD nicht verwendet wird, ist sec=sys die einzige unterstützte Sicherheitseinstellung.

  3. Klicken Sie auf Erstellen, um die Instanz zu erstellen.

gcloud

  1. Installieren und initialisieren Sie die gcloud CLI.

    Wenn Sie die gcloud CLI bereits installiert haben, führen Sie den folgenden Befehl aus, um sie zu aktualisieren:

    gcloud components update

  2. Führen Sie einen der folgenden Schritte aus:

    1. Wenn Sie Managed Microsoft AD verwenden, führen Sie den folgenden gcloud beta filestore instances create-Befehl aus, um eine Filestore-Unternehmens- oder zonale Instanz zu erstellen:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Ersetzen Sie Folgendes:

      • INSTANCE_ID ist die Instanz-ID der Filestore-Instanz, die Sie erstellen möchten. Siehe Instanz benennen.
      • DESCRIPTION ist die Beschreibung der Instanz, die Sie verwenden möchten.
      • LOCATION ist der Speicherort, an dem sich die Filestore-Instanz befinden soll.
      • TIER ist die Dienststufe, die Sie verwenden möchten.
      • PROTOCOL ist NFS_v4_1.
      • FILE_SHARE_NAME ist der Name, den Sie für die NFS-Dateifreigabe angeben, die von der Instanz bereitgestellt wird.
      • CAPACITY ist die gewünschte Dateigröße zwischen 1 TiB und 10 TiB.

      • VPC_NETWORK ist der Name des VPC-Netzwerks, das die Instanz verwenden soll. Siehe VPC-Netzwerk auswählen. Wenn Sie eine freigegebene VPC aus einem Dienstprojekt angeben möchten, müssen Sie den voll qualifizierten Netzwerknamen im Format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME sowie connect-mode=PRIVATE_SERVICE_ACCESS angeben, etwa so:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Sie können für den Wert vpc_network kein Legacy-Netzwerk angeben. Erstellen Sie bei Bedarf ein neues VPC-Netzwerk. Folgen Sie dazu der Anleitung unter VPC-Netzwerk im automatischen Modus erstellen.

      • MANAGED_AD_PROJECT_ID ist die ID des Projekts, in dem sich der verwaltete Microsoft AD-Dienst befindet.

      • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten. Es ist der Domainname, den Sie beim Erstellen einer Managed Microsoft AD-Domain auswählen.

      • DOMAIN_COMPUTER_ACCOUNT ist ein beliebiger Name, mit dem der Cluster in der Domain aufgerufen werden soll.

      • CONSUMER_PROJECT_ID ist die Projekt-ID des Projekts, das die Filestore-Instanz enthält.

      • CONNECT_MODE ist DIRECT_PEERING oder PRIVATE_SERVICE_ACCESS. Wenn Sie eine freigegebene VPC als Netzwerk angeben, müssen Sie auch PRIVATE_SERVICE_ACCESS als Verbindungsmodus angeben. Dieses Flag ist für VPC-Netzwerk-Peering erforderlich, das bei Verwendung von Managed Microsoft AD eine Voraussetzung ist.

      • RESERVED_IP_RANGE ist der IP-Adressbereich für die Filestore-Instanz. Wenn Sie connect-mode=PRIVATE_SERVICE_ACCESS angeben und einen reservierten IP-Adressbereich verwenden möchten, müssen Sie den Namen eines zugewiesenen Adressbereichs anstelle eines CIDR-Bereichs angeben. Weitere Informationen finden Sie unter Reservierte IP-Adresse konfigurieren. Wir empfehlen, dieses Flag zu überspringen, damit Filestore automatisch einen freien IP-Adressbereich finden und der Instanz zuweisen kann.

    2. Wenn Sie Managed Microsoft AD nicht verwenden, führen Sie denselben Befehl wie im vorherigen Schritt aus, um eine Filestore-Instanz zu erstellen. Lassen Sie dabei das Flag --managed-ad und die Flags für VPC-Netzwerk-Peering, also connect-mode und reserved-ip-range, weg. Verwenden Sie den folgenden Befehl als Beispiel:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Netzwerkbasierte Access Control Lists (ACLs) in NFSv4.1

In NFSv3 wird nur die Sicherheitsvariante sys unterstützt. Diese Einstellung vertraut dem Nutzer uid und gid, die vom Client während der Bereitstellung angegeben wurden.

Im Filestore-NFSv4.1-Protokoll sind mehrere Sicherheitsvarianten oder -einstellungen für Netzwerk-ACLs verfügbar:

  • krb5

    Authentifizierung des Clients mithilfe eines Kerberos-Tickets, das mit dem Managed Microsoft AD Kerberos-Server validiert wird.

  • krb5i

    Umfasst die von krb5 bereitgestellte Authentifizierung und nutzt Kerberos, um die Nachrichtenintegritätsprüfungen für den gesamten Netzwerkverkehr zur und von der Instanz durchzuführen.

  • krb5p

    Umfasst die Authentifizierung von krb5 und die Nachrichtenintegritätsprüfungen von krb5i. Außerdem wird Kerberos zur Verschlüsselung von Daten während der Übertragung verwendet.

Wenn Sie diese Optionen nutzen möchten, ist die Einbindung von Managed Service for Microsoft Active Directory erforderlich.

Wenn keine Managed Service for Microsoft Active Directory-Domain angegeben ist, wird nur die Sicherheits-Flavor sys unterstützt.

Weitere Informationen finden Sie unter Einschränkungen für NFSv4.1.

Filestore-NFSv4.1-Instanzen auf Linux-Clients bereitstellen

Die folgenden Schritte zeigen, wie Sie Instanzen auf Linux-Clients bereitstellen.

  • Stellen Sie mit sec=sys für Standard-NFS-Berechtigungen bereit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Mit sec=krb5 für Kerberos-basierte Authentifizierung bereitstellen:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Mit sec=krb5i für die Kerberos-basierte Authentifizierung und Prüfungen der Nachrichtenintegrität bereitstellen:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Stellen Sie die Bereitstellung mit sec=krb5p für Kerberos-basierte Authentifizierung, Integritätsprüfungen und Verschlüsselung während der Übertragung bereit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Ersetzen Sie Folgendes:

    • FILESTORE-INSTANCE-FQDN ist der vollständig qualifizierte Domainname, unter dem sich die Filestore-Instanz befindet.
    • INSTANCE_SHARE_POINT ist der Dateifreigabename der Filestore-Instanz, zu der Sie eine Verbindung herstellen möchten.
    • MOUNT_POINT ist der Bereitstellungspunkt oder Verzeichnisname, an dem Sie die Bereitstellung vornehmen möchten.

Linux-Clientkonfiguration

Eine NFSv4.1 Filestore-Instanz ermöglicht es Clients, NFS-Vorgänge mit verschiedenen Sicherheitsvarianten auszuführen. Diese Geschmacksrichtungen werden vom Instanzadministrator über Netzwerk-ACLs auf der Filestore-NFSv4.1-Instanz konfiguriert, während der Erstellung oder wenn nach dem Erstellen aktualisiert wird.

Die Sicherheitsvariante sys verwendet die standardmäßige Unix-Authentifizierung, während für die Varianten krb5, krb5i und krb5p die Kerberos-basierte Authentifizierung verwendet wird.

Bei den Varianten krb5, krb5i und krb5p müssen die Clients mit derselben verwalteten Microsoft AD-Domain wie die Filestore-Instanz verbunden sein. Führen Sie die folgenden Schritte entsprechend Ihrer Umgebung aus.

Ubuntu-Image

  1. Stellen Sie eine SSH-Verbindung zur Compute Engine-Instanz her.

  2. Führen Sie die folgenden Befehle aus, um der Managed Microsoft AD-Domain beizutreten.

    1. Führen Sie den folgenden Einrichtungsbefehl aus:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Wenn Sie nach „Bereich“ gefragt werden, ersetzen Sie den vorhandenen Eintrag durch die verwaltete Microsoft AD-Domain, die für die Filestore-Instanz verwendet wird. Geben Sie den Wert in Großbuchstaben ein. Drücken Sie dann die Pfeiltaste, um OK auszuwählen, und drücken Sie die Eingabetaste.

    3. Wenn Sie nach Hosts gefragt werden, lassen Sie das Feld leer und fahren Sie fort.

    4. Führen Sie einen der folgenden Schritte aus:

      • Führen Sie für VMs mit einer Hostnamenlänge von maximal 15 Zeichen den folgenden Befehl aus:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Ersetzen Sie Folgendes:

        • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
        • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.

      • Führen Sie für VMs mit einer Hostnamenlänge von mehr als 15 Zeichen den folgenden Befehl aus:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Ersetzen Sie Folgendes:

        • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
        • MANAGED_AD_REALM_NAME ist der Bereichsname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
        • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.

  3. Kerberos-Konfiguration aktualisieren. Aktualisieren Sie /etc/krb5.conf mit der erforderlichen Bereichsdefinition und der Bereichsdomain-Zuordnung:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Ersetzen Sie Folgendes:

    • DOMAIN_NAME ist der zu verwendende Domainname in Großbuchstaben.
    • domain_name_lowercase ist der zu verwendende Domainname in Kleinbuchstaben.

    Hier ein Beispiel:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Führen Sie den Dienst RPC-gssd aus. Fügen Sie den folgenden No-Strip-Attributwert in den Abschnitt [General] innerhalb von /etc/idmapd.conf ein:

     [General]
 No-Strip = both

  5. Führen Sie dazu diesen Befehl aus:

    sudo systemctl restart rpc-gssd

Centos-Bild

  1. Mit Ssh zur Compute Engine-Instanz verbinden

  2. Treten Sie der Managed Microsoft AD-Domain bei:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Führen Sie einen der folgenden Schritte aus:

    • Führen Sie für VMs mit einer Hostnamenlänge von maximal 15 Zeichen den folgenden Befehl aus:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Ersetzen Sie Folgendes:

      • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
      • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.

    • Führen Sie für VMs mit einer Hostnamenlänge von mehr als 15 Zeichen den folgenden Befehl aus:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Ersetzen Sie Folgendes:

      • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Beitritt zur Domain verwendet wird.
      • MANAGED_AD_REALM_NAME ist der Bereichsname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
      • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.

  4. Prüfen Sie, ob der sssd-Dienst ausgeführt wird:

    sudo systemctl status sssd

  5. Führen Sie den Dienst RPC-gssd aus. Fügen Sie unter dem Wert des Attributs No-Strip im Abschnitt [General] innerhalb von /etc/idmapd.conf Folgendes hinzu:

    [General]
No-Strip = both

  6. Führen Sie den folgenden Befehl aus: Mit diesem Befehl sorgen Sie dafür, dass der NFS-Client den Domainnamen nicht aus dem Hostnamen des NFS-Servers entfernt. Weitere Informationen finden Sie unter NFS Ganesha List Archives und Arch Linux Archive:

    sudo systemctl start rpc-gssd

Verbindung zu Managed Microsoft AD von einer Filestore-Instanz trennen und wieder herstellen

Google Cloud Console

Verwaltetes Microsoft AD von einer Filestore-Instanz trennen

  1. Verbindung zu einer Filestore-Instanz trennen, die mit Managed Microsoft AD verbunden ist.

    Rufen Sie in der Google Cloud Console die Seite Filestore-Instanzen auf.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf die ID der Instanz, die Sie bearbeiten möchten.

  3. Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Name des Verzeichnisdienstes auf Verbindung zu AD-Domain trennen.

  4. Lesen Sie im Fenster Verbindung zur Domain fehlgeschlagen die Benachrichtigung und klicken Sie dann auf Instanz bearbeiten.

    Mindestens eine Regel in der Zugriffssteuerung muss der Administratorrolle mit der Bereitstellungssicherheitseinstellung sys zugeordnet sein, z. B. Access=Admin Mount und sec=sys.

  5. Suchen Sie im Bereich Freigabe bearbeiten die Regel, in der Zugriff auf Administrator festgelegt ist. Klicken Sie auf Bereitstellen sec= ... und wählen Sie sys aus, um diese Option der vorhandenen Einstellung hinzuzufügen.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie neben Verzeichnisdienstname auf AD-Domain trennen.

  9. Geben Sie im Fenster Verbindung zur Domain trennen? den Namen der Domain ein, zu der Sie die Verbindung aufheben möchten.

  10. Klicken Sie auf Verbindung trennen.

Zugriffsregeln bearbeiten

  1. Aktualisieren Sie die Seite. Beachten Sie, dass Directory service name (Verzeichnisdienstname) jetzt auf None festgelegt ist.

  2. Klicken Sie auf Bearbeiten.

  3. Suchen Sie im Bereich Freigabe bearbeiten nach jeder Regel, die den Zugriff für eine andere Rolle als Administrator festlegt, z. B. Bearbeiter. Klicken Sie in der Regel auf Bereitstellen sec= ... und wählen Sie sys aus, um sie der vorhandenen Einstellung hinzuzufügen. Klicken Sie auf OK.

  4. Klicken Sie auf Speichern.

  5. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Verwaltetes Microsoft AD noch einmal mit Filestore-Instanz verbinden

  1. Filestore-Instanz noch einmal mit Managed Microsoft AD verbinden

    Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Verzeichnisdienstname auf AD-Domain beitreten.

  2. Wählen Sie im Fenster Diese Instanz mit einer Active Directory-Domain verknüpfen die Option Domains aus dem aktuellen Projekt verwenden und im Menü Active Directory-Domain verknüpfen die Domain aus, die Sie verwenden möchten.

  3. Geben Sie im Menü Computerkontoname einen Namen ein.

  4. Klicken Sie auf Domain beitreten.

  5. Aktualisieren Sie die Seite. Beachten Sie, dass Directory service name (Verzeichnisdienstname) mit Ihrer Auswahl aktualisiert wurde.

  6. Klicken Sie auf Bearbeiten.

  7. Klicken Sie im Bereich Freigabe bearbeiten in allen anwendbaren Regeln auf sec= bereitstellen ... und entfernen Sie die Auswahl sys. Klicken Sie auf OK.

  8. Klicken Sie auf Speichern.

  9. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Nächste Schritte