NFSv4.1-Protokoll konfigurieren

In der folgenden Anleitung erfahren Sie, wie Sie das NFSv4.1-Protokoll mit einer neuen Filestore-Instanz implementieren.

NFSv4.1

Filestore bietet Unterstützung für NFSv4.1-Protokolle (Vorabversion) für Instanzen, die in den folgenden Dienststufen erstellt wurden:

  • Zonal
  • Regional
  • Enterprise

Diese Funktion kann in Managed Service for Microsoft Active Directory (Managed Microsoft AD) eingebunden werden, um Arbeitslasten zu unterstützen, die zuvor in Filestore nicht verfügbare Funktionen von Clients und Server, Integritätsprüfungen von Nachrichtendaten und Verschlüsselung von Daten während der Übertragung erfordern.

  • Die Authentifizierung wird mit LDAP und Kerberos unterstützt und umfasst die folgenden Sicherheitsvarianten (Einstellungen):

    • Client- und Serverauthentifizierung (krb5)
    • Nachrichtenintegritätsprüfungen (krb5i). Enthält die Funktionen der vorherigen Einstellung.
    • Verschlüsselung von Daten während der Übertragung (krb5p). Enthält die Funktionen der vorherigen Einstellung.

Managed Microsoft AD ist die einzige vollständig verwaltete Google Cloud-Lösung, die sowohl LDAP als auch Kerberos unterstützt, die Anforderungen für das NFSv4.1-Protokoll und dessen Vorteile in Bezug auf Sicherheit und Datenschutz. Die Einbindung in Managed Microsoft AD ist zwar nicht erforderlich, aber für eine optimale Google Cloud-Nutzerumgebung bei der Verwaltung von Nutzerkonten und schwankenden Gruppen und Berechtigungen dringend empfohlen.

Sollten Sie NFSv4.1 verwenden?

Viele Unternehmen verlassen sich für geschäftskritische Vorgänge auf Legacy-Systeme. Viele dieser Systeme erfordern eine Authentifizierung und Verschlüsselung während der Übertragung für ihren Netzwerkdateispeicher. NFSv3 wurde nicht im Hinblick auf Authentifizierung entwickelt. Die NFSv4.1-Protokollintegration von Filestore in Managed Microsoft AD erfüllt jetzt diese wichtige Nutzeranforderung.

Lernziele

In dieser Anleitung erfahren Sie, wie Sie die folgenden Aufgaben ausführen:

Filestore-Instanz erstellen, die NFSv4.1 verwendet

Wenn Sie Managed Microsoft AD mit einer Filestore-Instanz verwenden möchten, muss die verwaltete Microsoft AD-Domain vor der Filestore-Instanz erstellt werden.

Hinweise

  1. Sowohl die Managed Microsoft AD-Domain als auch die Filestore-Instanz müssen dieselbe VPC verwenden, während sie sich im selben Projekt befinden.

    Wenn Ihr Managed Microsoft AD-Dienst in einem anderen Projekt als der Filestore-Instanz gehostet wird, die Sie verwenden möchten, muss das Filestore-VPC-Netzwerk über Peering mit der Managed Microsoft AD-Domain verbunden werden.

    Weitere Informationen finden Sie unter Managed Microsoft AD mit projektübergreifendem Zugriff über Domain-Peering bereitstellen.

  2. Führen Sie alle Einrichtungsschritte aus, um eine Filestore-Instanz zu erstellen.

  3. Achten Sie darauf, dass für Managed Microsoft AD-Nutzer die Felder POSIX RFC 2307 und RFC 2307bis ausgefüllt sind, ähnlich wie im folgenden Beispiel.

    Weitere Informationen zum Konfigurieren von Objekten in Managed Microsoft AD finden Sie unter Verwaltete Active Directory-Objekte.

    Active Directory-Nutzer und -Computer

    In den folgenden Schritten werden die Attribute beschrieben, die Sie für LDAP-Nutzer und -Gruppen festlegen müssen. Sie können POSIX-Attribute mit dem MMC-Snap-in Active Directory-Nutzer und -Computer verwalten.

    So öffnen Sie den Attribut-Editor:

    1. Klicken Sie auf Start.

    2. Klicken Sie auf Windows-Verwaltungsprogramme und wählen Sie Active Directory-Nutzer und -Computer aus.

      Das Fenster Active Directory-Nutzer und -Computer wird geöffnet.

    3. Wählen Sie den Domainnamen aus, den Sie ansehen möchten. Klicken Sie auf den Erweiterungspfeil, um den Inhalt zu maximieren.

    4. Wählen Sie im Menü Ansicht für Active Directory-Nutzer und -Computer die Option Erweiterte Features aus.

    5. Doppelklicken Sie im linken Bereich auf Users (Nutzer).

    6. Doppelklicken Sie in der Nutzerliste auf einen Nutzer, um den Tab Attribut-Editor aufzurufen.

      Für LDAP-Nutzer müssen die folgenden Attribute festgelegt sein:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Jeder Nutzer muss eine eindeutige uidNumber haben. Beim Wert für das Attribut uid wird zwischen Groß- und Kleinschreibung unterschieden. Für das Attribut objectClass ist user die Standardeinstellung in den meisten Active Directory-Bereitstellungen (AD). Hier ein Beispiel:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Für LDAP-Gruppen müssen die folgenden Attribute festgelegt sein:

      • cn
      • gidNumber
      • objectClass

      Jede Gruppe muss eine eindeutige gidNumber haben. Beim Wert für das Attribut cn wird zwischen Groß- und Kleinschreibung unterschieden. Für das Attribut objectClass ist group die Standardeinstellung in den meisten AD-Bereitstellungen. Hier ein Beispiel:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Gewähren Sie mit dem Befehl gcloud projects add-iam-policy-binding Filestore-Zugriff, um Objekte in Managed Microsoft AD zu erstellen und zu verwalten:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Ersetzen Sie Folgendes:

    • MANAGED_MICROSOFT_AD_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Managed Microsoft AD-Domain befindet.
    • PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Filestore-Instanz befindet.

    Möglicherweise wird der folgende Fehler angezeigt:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    Ist dies der Fall, verwenden Sie den folgenden Befehl, um das Problem zu beheben:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Filestore-Instanz mit oder ohne Managed Microsoft AD erstellen

In diesem Abschnitt erstellen Sie eine Filestore-Instanz, die für die Verwendung mit dem NFSv4.1-Protokoll konfiguriert ist. Für Nutzer, die Managed Microsoft AD nicht verwenden möchten, sind optionale Schritte enthalten.

  • Achten Sie darauf, dass Ihr Kontingent ausreicht.

    Die Instanzkontingente richten sich nach dem Regionsstandort und der Dienststufe, die Sie verwenden möchten. Wenn Sie das verfügbare Kontingent erhöhen möchten, müssen Sie eine Anfrage zur Kontingenterhöhung einreichen.

Google Cloud Console

Instanzparameter einrichten

  1. Rufen Sie in der Google Cloud Console die Seite "Filestore-Instanzen" auf.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie die grundlegenden Parameter der Instanz an, einschließlich Name, Instanztyp und Kapazität:

    1. Geben Sie im Feld Instanz-ID den Namen ein, den Sie für die Filestore-Instanz verwenden möchten.

    2. Wählen Sie unter Instanztyp die Option Regional oder Zonal aus.

      Zum Erstellen einer Unternehmensinstanz müssen Sie Vorgänge direkt über die Filestore API ausführen.

    3. Geben Sie unter Zugewiesene Kapazität die Kapazität ein, die Sie verwenden möchten. Sie müssen einen Wert zwischen 1 TB und 10 TB in Schritten von 256 GiB (0, 25 TiB) eingeben.

    4. Wählen Sie unter Region die Region aus, die Sie verwenden möchten.

    5. Wählen Sie unter VPC-Netzwerk das Netzwerk aus, das Sie für die Filestore-Instanz und NFS-Clients verwenden möchten.

      • Wenn sich Managed Microsoft AD im selben Projekt wie die Filestore-Instanz befindet, muss das VPC-Netzwerk in der Managed Microsoft AD-Domain autorisiert werden.
      • Wenn sich Managed Microsoft AD in einem separaten Projekt befindet, sollte das VPC-Netzwerk mit Active Directory-Netzwerk-Peering in der Managed Microsoft AD-Konfiguration konfiguriert werden.

    6. Wählen Sie unter Zugewiesener IP-Bereich die Option Automatisch zugewiesenen IP-Bereich verwenden (empfohlen) aus.

    7. Wählen Sie unter Protokoll die Option NFSv4.1 aus.

Authentifizierungseinstellungen der Instanz konfigurieren

  1. Konfigurieren Sie die Authentifizierungseinstellungen der Instanz.
    1. Klicken Sie auf Authentifizierung.
    2. Wählen Sie das Projekt aus, das Managed Microsoft AD hostet. In diesem Leitfaden gehen wir davon aus, dass wir das aktuelle Projekt verwenden.
    3. Wählen Sie in der Liste Active Directory-Domain beitreten die verwaltete Microsoft AD-Domain aus, die Sie verwenden möchten.
    4. Geben Sie im Feld Name des Computerkontos den Namen des Computerkontos ein, mit dem Sie die Filestore-Instanz in der verwalteten Microsoft AD-Domain identifizieren möchten. Der Name ist auf 15 alphanumerische Zeichen beschränkt.
    5. Geben Sie im Feld Dateifreigabename den Namen der Freigabe ein, der von den NFSv4.1-Clients verwendet wird.

  2. Führen Sie im Bereich Zugriffssteuerung einen der folgenden Schritte aus:

    • Wenn Sie Managed Microsoft AD verwenden, wählen Sie Zugriff nach IP-Adresse oder Bereich einschränken aus.

      1. Legen Sie die Zugriffsregel anhand der IP-Adresse oder des Subnetzes fest, das Sie definieren möchten. Verwenden Sie für diese Anleitung die folgenden Einstellungen:
      2. Geben Sie im Feld IP-Adresse oder -Bereich 1 die IP-Adresse oder den IP-Bereich ein, den Sie verwenden möchten.
      3. Klicken Sie auf die Drop-down-Liste Zugriff 1 und wählen Sie Admin aus.
      4. Klicken Sie auf die Drop-down-Liste Mountsec= 1 und klicken Sie das Kästchen sys an.

      Der standardmäßige /-Inhaber von Filestore ist root. Wenn Sie anderen Nutzern und Gruppen den Zugriff auf die Instanz ermöglichen möchten, müssen Sie eine Zugriffregel erstellen, die den Zugriff auf Verwaltungs-VMs mit der Rolle Admin und der Sicherheitseinstellung sec=sys aktiviert.

    • Wenn Sie Managed Microsoft AD nicht verwenden, wählen Sie Zugriff auf alle Clients im VPC-Netzwerk gewähren aus.

      Wenn Managed Microsoft AD nicht verwendet wird, wird nur die Sicherheitseinstellung sec=sys unterstützt.

  3. Klicken Sie auf Erstellen, um die Instanz zu erstellen.

gcloud

  1. Installieren und initialisieren Sie die gcloud CLI.

    Wenn Sie die gcloud CLI bereits installiert haben, führen Sie den folgenden Befehl aus, um sie zu aktualisieren:

    gcloud components update

  2. Führen Sie einen der folgenden Schritte aus:

    1. Wenn Sie Managed Microsoft AD verwenden, führen Sie den folgenden gcloud beta filestore instances create-Befehl aus, um eine zonale, regionale oder Enterprise-Instanz zu erstellen:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Ersetzen Sie Folgendes:

      • INSTANCE_ID ist die Instanz-ID der Filestore-Instanz, die Sie erstellen möchten. Siehe Instanz benennen.
      • DESCRIPTION ist eine Beschreibung der Instanz, die Sie verwenden möchten.
      • LOCATION ist der Speicherort, an dem sich die Filestore-Instanz befinden soll.
      • TIER ist die Dienststufe, die Sie verwenden möchten.
      • PROTOCOL ist NFS_v4_1.
      • FILE_SHARE_NAME ist der Name, den Sie für die NFS-Dateifreigabe angeben, die von der Instanz bereitgestellt wird.
      • CAPACITY ist die gewünschte Größe für die Dateifreigabe zwischen 1 TiB und 10 TiB.

      • VPC_NETWORK ist der Name des VPC-Netzwerks, das die Instanz verwenden soll. Siehe VPC-Netzwerk auswählen. Wenn Sie eine freigegebene VPC aus einem Dienstprojekt angeben möchten, müssen Sie den vollständig qualifizierten Netzwerknamen im Format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME angeben. Außerdem müssen Sie connect-mode=PRIVATE_SERVICE_ACCESS angeben. Dies sieht in etwa so aus:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Sie können für den Wert vpc_network kein altes Netzwerk angeben. Erstellen Sie bei Bedarf ein neues VPC-Netzwerk. Folgen Sie dazu der Anleitung unter VPC-Netzwerk im automatischen Modus erstellen.

      • MANAGED_AD_PROJECT_ID ist die ID des Projekts, in dem sich der Managed Microsoft AD-Dienst befindet.

      • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten. Dabei handelt es sich um den Domainnamen, den Sie beim Erstellen einer Managed Microsoft AD-Domain auswählen.

      • DOMAIN_COMPUTER_ACCOUNT ist der beliebige Name, mit dem der Cluster in der Domain aufgerufen werden soll.

      • CONSUMER_PROJECT_ID ist die Projekt-ID des Projekts, das die Filestore-Instanz enthält.

      • CONNECT_MODE ist DIRECT_PEERING oder PRIVATE_SERVICE_ACCESS. Wenn Sie eine freigegebene VPC als Netzwerk angeben, müssen Sie auch PRIVATE_SERVICE_ACCESS als Verbindungsmodus angeben. Dieses Flag ist für das VPC-Netzwerk-Peering erforderlich, das bei der Verwendung von Managed Microsoft AD erforderlich ist.

      • RESERVED_IP_RANGE ist der IP-Adressbereich für die Filestore-Instanz. Wenn Sie connect-mode=PRIVATE_SERVICE_ACCESS angeben und einen reservierten IP-Adressbereich verwenden möchten, müssen Sie den Namen eines zugewiesenen Adressbereichs anstelle eines CIDR-Bereichs angeben. Siehe Reservierte IP-Adresse konfigurieren. Wir empfehlen, dieses Flag zu überspringen, damit Filestore automatisch einen freien IP-Adressbereich finden und der Instanz zuweisen kann.

    2. Wenn Sie Managed Microsoft AD nicht verwenden, führen Sie denselben Befehl wie im vorherigen Schritt aus, um eine Filestore-Instanz zu erstellen. Lassen Sie dabei das Flag --managed-ad und die Flags für VPC-Netzwerk-Peering, nämlich connect-mode und reserved-ip-range, weg. Verwenden Sie den folgenden Befehl als Beispiel:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Informationen zu netzwerkbasierten Access Control Lists (ACLs) in NFSv4.1.

In NFSv3 wird nur die Sicherheitsversion sys unterstützt. Diese Einstellung vertraut dem Nutzer uid und gid, die vom Client bei der Bereitstellung angegeben wurden.

Im Filestore NFSv4.1-Protokoll sind mehrere Sicherheits-Varianten oder -Einstellungen für Netzwerk-ACLs verfügbar:

  • krb5

    Authentifiziert den Client mit einem Kerberos-Ticket, das mit dem Managed Microsoft AD Kerberos-Server validiert wird.

  • krb5i

    Umfasst die von krb5 bereitgestellte Authentifizierung und verwendet Kerberos außerdem zur Ausführung von Integritätsprüfungen der Nachrichten für den gesamten Netzwerktraffic zu und von der Instanz.

  • krb5p

    Umfasst die von krb5 bereitgestellte Authentifizierung und die Nachrichtenintegritätsprüfungen von krb5i und verwendet Kerberos für die Verschlüsselung von Daten während der Übertragung.

Wenn Sie diese Optionen nutzen möchten, ist die Einbindung von Managed Service for Microsoft Active Directory erforderlich.

Wenn eine Managed Service for Microsoft Active Directory-Domain nicht angegeben ist, wird nur die Sicherheitsversion sys unterstützt.

Weitere Informationen finden Sie unter Einschränkungen von NFSv4.1.

Filestore-NFSv4.1-Instanzen auf Linux-Clients bereitstellen

Die folgenden Schritte zeigen, wie Sie Instanzen auf Linux-Clients bereitstellen.

  • Stellen Sie mit sec=sys für Standard-NFS-Berechtigungen bereit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Mit sec=krb5 für die Kerberos-basierte Authentifizierung bereitstellen:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Stellen Sie mit sec=krb5i für Kerberos-basierte Authentifizierung und Nachrichtenintegritätsprüfungen bereit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Stellen Sie mit sec=krb5p für Kerberos-basierte Authentifizierung, Integritätsprüfungen und Verschlüsselung während der Übertragung bereit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Ersetzen Sie Folgendes:

    • FILESTORE-INSTANCE-FQDN ist der vollständig qualifizierte Domainname, in dem sich die Filestore-Instanz befindet.
    • INSTANCE_SHARE_POINT der Dateifreigabename der Filestore-Instanz ist, zu der Sie eine Verbindung herstellen möchten.
    • MOUNT_POINT ist der Name des Bereitstellungspunkts oder des Verzeichnisses, für das Sie die Bereitstellung vornehmen möchten.

Linux-Clientkonfiguration

Mit einer NFSv4.1-Filestore-Instanz können Clients NFS-Vorgänge mit verschiedenen Sicherheitstypen ausführen. Diese Varianten werden vom Instanzadministrator über Netzwerk-ACLs in der Filestore-NFSv4.1-Instanz während der Erstellung oder bei Aktualisierung nach dem Erstellen konfiguriert.

Die Sicherheitsversion sys verwendet die standardmäßige Unix-Authentifizierung, während die Varianten krb5, krb5i und krb5p die Kerberos-basierte Authentifizierung verwenden.

Für die Varianten krb5, krb5i und krb5p müssen die Clients mit derselben Managed Microsoft AD-Domain wie die Filestore-Instanz verbunden sein. Führen Sie die folgenden für Ihre Umgebung geeigneten Schritte aus.

Ubuntu-Image

  1. Stellen Sie eine SSH-Verbindung zur Compute Engine-Instanz her.

  2. Führen Sie die folgenden Befehle aus, um der Managed Microsoft AD-Domain beizutreten.

    1. Führen Sie den folgenden Setup-Befehl aus:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Wenn Sie zur Eingabe des Bereichs aufgefordert werden, ersetzen Sie den vorhandenen Eintrag durch die Managed Microsoft AD-Domain, die in der Filestore-Instanz verwendet wird. Geben Sie den Wert in Großbuchstaben ein, drücken Sie die Pfeiltaste, um OK auszuwählen, und drücken Sie dann die Eingabetaste.

    3. Wenn Sie nach Hosts gefragt werden, lassen Sie das Feld leer und fahren Sie fort.

    4. Führen Sie einen der folgenden Schritte aus:

      • Führen Sie für VMs mit einer Hostnamenlänge von maximal 15 Zeichen den folgenden Befehl aus:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Ersetzen Sie Folgendes:

        • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Domainbeitritt verwendet wurde.
        • MANAGED_AD_DOMAIN_NAME ist der Domainname des Managed Microsoft AD-Dienstes, den Sie verwenden möchten.

      • Führen Sie für VMs mit einem Hostnamen aus mehr als 15 Zeichen den folgenden Befehl aus:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Ersetzen Sie Folgendes:

        • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Domainbeitritt verwendet wurde.
        • MANAGED_AD_REALM_NAME ist der Bereichsname des Managed Microsoft AD-Dienstes, den Sie verwenden möchten.
        • MANAGED_AD_DOMAIN_NAME ist der Domainname des Managed Microsoft AD-Dienstes, den Sie verwenden möchten.

  3. Kerberos-Konfiguration aktualisieren. Aktualisieren Sie /etc/krb5.conf mit der erforderlichen Bereichsdefinition und Bereichsdomainzuordnung:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Ersetzen Sie Folgendes:

    • DOMAIN_NAME ist der zu verwendende Domainname in Großbuchstaben.
    • domain_name_lowercase ist der zu verwendende Domainname in Kleinbuchstaben.

    Hier ein Beispiel:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Führen Sie den Dienst rpc-gssd aus. Fügen Sie den folgenden Attributwert No-Strip in den Abschnitt [General] innerhalb von /etc/idmapd.conf ein:

     [General]
 No-Strip = both

  5. Führen Sie dazu diesen Befehl aus:

    sudo systemctl restart rpc-gssd

Centos-Bild

  1. Wechseln Sie zur Compute Engine-Instanz.

  2. Treten Sie der Managed Microsoft AD-Domain bei:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Führen Sie einen der folgenden Schritte aus:

    • Führen Sie für VMs mit einer Hostnamenlänge von maximal 15 Zeichen den folgenden Befehl aus:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Ersetzen Sie Folgendes:

      • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Domainbeitritt verwendet wird.
      • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.

    • Führen Sie für VMs mit einer Hostnamenlänge mehr als 15 Zeichen den folgenden Befehl aus:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Ersetzen Sie Folgendes:

      • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, das für den Domainbeitritt verwendet wird.
      • MANAGED_AD_REALM_NAME ist der Bereichsname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.
      • MANAGED_AD_DOMAIN_NAME ist der Domainname des verwalteten Microsoft AD-Dienstes, den Sie verwenden möchten.

  4. Prüfen Sie, ob der SSD-Dienst ausgeführt wird:

    sudo systemctl status sssd

  5. Führen Sie den Dienst RPC-gssd aus. Fügen Sie unter dem Attributwert No-Strip in den Abschnitt [General] in /etc/idmapd.conf Folgendes ein:

    [General]
No-Strip = both

  6. Führen Sie den folgenden Befehl aus: Mit diesem Befehl wird sichergestellt, dass der NFS-Client den Domainnamen nicht aus dem Hostnamen des NFS-Servers entfernt. Weitere Informationen finden Sie unter NFS Ganesha List Archives und Arch Linux Archive:

    sudo systemctl start rpc-gssd

Von einer Filestore-Instanz trennen und wiederherstellen

Google Cloud Console

Verbindung zwischen einem verwalteten Microsoft AD und einer Filestore-Instanz trennen

  1. Verbindung zu einer Filestore-Instanz trennen, die mit Managed Microsoft AD verbunden ist.

    Rufen Sie in der Google Cloud Console die Seite "Filestore-Instanzen" auf.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf die ID der Instanz, die Sie bearbeiten möchten.

  3. Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Name des Verzeichnisdienstes auf Verbindung zur AD-Domain trennen.

  4. Lesen Sie die Benachrichtigung im Fenster Verbindung zur Domain fehlgeschlagen und klicken Sie dann auf Instanz bearbeiten.

    Mindestens eine Regel in Zugriffssteuerung muss der Rolle „Administrator“ mit der Bereitstellungssicherheitseinstellung sys zugeordnet sein, z. B. Access=Admin Mount oder sec=sys.

  5. Suchen Sie im Bereich Freigabe bearbeiten die Regel, bei der Zugriff auf Administrator festgelegt ist. Klicken Sie auf sec= bereitstellen und wählen Sie sys aus, um diese Option der vorhandenen Einstellung hinzuzufügen.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie neben Name des Verzeichnisdienstes auf Verbindung zur AD-Domain trennen.

  9. Geben Sie im Feld Verbindung zur Domain trennen? den Namen der Domain ein, von der Sie die Verbindung trennen möchten.

  10. Klicken Sie auf Verbindung trennen.

Zugriffsregeln bearbeiten

  1. Aktualisieren Sie die Seite. Beachten Sie, dass Directory Service Name jetzt auf None festgelegt ist.

  2. Klicken Sie auf Bearbeiten.

  3. Suchen Sie im Bereich Freigabe bearbeiten nach jeder Regel, die den Zugriff für eine andere Rolle als Administrator festlegt, z. B. Bearbeiter. Klicken Sie in der Regel auf Bereitstellen sec= ... und wählen Sie sys aus, um die Regel der vorhandenen Einstellung hinzuzufügen. Klicken Sie auf OK.

  4. Klicken Sie auf Speichern.

  5. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Managed Microsoft AD wieder mit einer Filestore-Instanz verbinden

  1. Verbinden Sie eine Filestore-Instanz noch einmal mit Managed Microsoft AD.

    Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Name des Verzeichnisdienstes auf AD-Domain beitreten.

  2. Wählen Sie im Fenster Diese Instanz mit einer Active Directory-Domain verknüpfen die Option Domains aus dem aktuellen Projekt verwenden und im Menü Active Directory-Domain beitreten die Domain aus, die Sie verwenden möchten.

  3. Geben Sie im Menü Computerkontoname einen Namen ein.

  4. Klicken Sie auf Domain beitreten.

  5. Aktualisieren Sie die Seite. Der Directory Service Name (Verzeichnisdienstname) wurde entsprechend Ihrer Auswahl aktualisiert.

  6. Klicken Sie auf Bearbeiten.

  7. Klicken Sie im Bereich Freigabe bearbeiten bei allen anwendbaren Regeln auf Bereitstellen sec= ... und entfernen Sie die Auswahl sys. Klicken Sie auf OK.

  8. Klicken Sie auf Speichern.

  9. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Nächste Schritte