Le guide suivant vous explique comment implémenter le protocole NFSv4.1 avec un nouveau Instance Filestore.
À propos de NFSv4.1
Filestore est compatible avec le protocole NFSv4.1 (version preview) pour les instances créées dans les niveaux de service suivants:
- Zonal
- Régional
- Entreprise
Cette fonctionnalité peut être intégrée Service géré pour Microsoft Active Directory (service Microsoft AD géré) pour prendre en charge des charges de travail nécessitant une authentification client et serveur, des contrôles d'intégrité et du chiffrement des données en transit, indisponible dans Filestore.
L'authentification est compatible avec LDAP. et Kerberos et inclut le types de sécurité (paramètres) suivants :
- Authentification client et serveur (
krb5
). - Contrôles d'intégrité des messages (
krb5i
). Inclut les fonctionnalités le paramètre précédent. - Chiffrement des données en transit (
krb5p
). Inclut les fonctionnalités le paramètre précédent.
- Authentification client et serveur (
Le service Microsoft AD géré est la seule solution Google Cloud entièrement gérée est compatible avec LDAP, et Kerberos, les exigences le protocole NFSv4.1 et ses avantages en termes de sécurité et de confidentialité. Pendant l'intégration avec le service Microsoft AD géré n'est pas obligatoire, il est fortement recommandé une expérience utilisateur optimale dans Google Cloud pour gérer les comptes utilisateur et fluctuer les groupes et les autorisations.
Devez-vous utiliser NFSv4.1 ?
De nombreuses entreprises s'appuient sur d'anciens systèmes pour leurs opérations stratégiques. opérations. Beaucoup de ces systèmes nécessitent une authentification pour le stockage de fichiers en réseau. NFSv3 n'a pas été conçu avec de l'authentification. Intégration du protocole NFSv4.1 de Filestore à Le service Microsoft AD géré répond désormais à cette exigence utilisateur critique.
Objectifs
Dans ce guide, vous apprendrez à effectuer les tâches suivantes:
- Créez une instance Filestore qui utilise NFSv4.1.
- Connectez ou déconnectez le service Microsoft AD géré à partir d'une instance Filestore.
Créer une instance Filestore qui utilise NFSv4.1
Pour utiliser le service Microsoft AD géré avec une instance Filestore, Le domaine Microsoft AD géré doit être créé avant Filestore Compute Engine.
Avant de commencer
Le domaine Microsoft AD géré et Filestore doivent utiliser le même VPC sur le même projet.
Si votre service Microsoft AD géré est hébergé dans un projet distinct de l'instance Filestore que vous voulez utiliser, puis l'instance Filestore Le réseau VPC doit être appairé au domaine Microsoft AD géré.
Pour en savoir plus, consultez Déployez le service Microsoft AD géré avec un accès inter-projets à l'aide de l'appairage de domaines.
Effectuez toutes les étapes de configuration pour créer une instance Filestore.
Assurez-vous que les utilisateurs Microsoft AD gérés disposent de la spécification POSIX RFC 2307 et RFC 2307bis champs renseignés, comme illustré ci-dessous.
Pour en savoir plus sur la configuration d'objets dans le service Microsoft AD géré, consultez la page Objets Active Directory gérés.
Utilisateurs et ordinateurs Active Directory
Les étapes suivantes décrivent les attributs que vous devez définir pour LDAP des utilisateurs et des groupes. Vous pouvez gérer les attributs POSIX à l'aide du bouton Connecteur MMC "Utilisateurs et ordinateurs de l'annuaire".
Pour ouvrir l'éditeur d'attributs, procédez comme suit:
- Cliquez sur Démarrer.
Cliquez sur Outils d'administration Windows, puis sélectionnez Utilisateurs et ordinateurs Active Directory.
La fenêtre Utilisateurs et ordinateurs Active Directory s'ouvre.
Sélectionnez le nom de domaine que vous souhaitez afficher. Pour développer son contenu, cliquez sur la flèche de développement
.Dans le menu Vue "Utilisateurs et ordinateurs Active Directory", sélectionnez Fonctionnalités avancées.
Dans le volet de gauche, double-cliquez sur Utilisateurs.
Dans la liste des utilisateurs, double-cliquez sur un utilisateur pour afficher son éditeur d'attributs. .
Les attributs suivants doivent être définis pour les utilisateurs LDAP:
uid
uidNumber
cn
gidNumber
objectClass
Chaque utilisateur doit posséder un
uidNumber
unique. Notez que la valeur du paramètre L'attributuid
est sensible à la casse. Pour l'attributobjectClass
:user
est le paramètre par défaut sur la plupart des déploiements Active Directory (AD). En voici un exemple :uid: Alice uidNumber: 139 gidNumber: 555 objectClass: user
Les attributs suivants doivent être définis pour les groupes LDAP:
cn
gidNumber
objectClass
Chaque groupe doit posséder un
gidNumber
unique. Notez que la valeur du paramètre L'attributcn
est sensible à la casse. Pour l'attributobjectClass
:group
est le paramètre par défaut sur la plupart des déploiements AD. Ce qui suit est Exemple:cn: AliceGroup gidNumber: 555 objectClass: group
Accordez à Filestore l'accès pour créer et gérer des objets dans Gestion de Microsoft AD à l'aide de
gcloud projects add-iam-policy-binding
commande:gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \ --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \ --format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \ --role=roles/managedidentities.filestoreintegrator
Remplacez les éléments suivants :
- MANAGED_MICROSOFT_AD_PROJECT_ID est l'ID de projet du projet dans lequel se trouve le domaine Microsoft AD géré.
- PROJECT_ID est l'ID du projet dans lequel l'instance Filestore.
L'erreur suivante peut s'afficher :
INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.
Si tel est le cas, utilisez la commande suivante pour le résoudre:
gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID
Créer une instance Filestore avec ou sans service Microsoft AD géré
Dans cette section, vous allez créer une instance Filestore avec le protocole NFSv4.1. Des étapes facultatives sont incluses pour les utilisateurs qui choisissent de ne pas utilisent le service Microsoft AD géré.
Assurez-vous de disposer d'un quota suffisant.
Plages de quota d'instances en fonction de l'emplacement régional et du niveau de service que vous souhaitez utiliser. Pour augmenter le quota disponible, vous devez envoyer une demande d'augmentation de quota.
console Google Cloud
Configurer les paramètres de l'instance
Dans la console Google Cloud, accédez aux instances Filestore .
Cliquez sur Create Instance (Créer une instance).
Spécifiez les paramètres de base de l'instance, y compris son nom, son nom le type et la capacité:
- Dans le champ ID d'instance, saisissez le nom que vous souhaitez utiliser pour le Instance Filestore.
Dans Type d'instance, sélectionnez Régional ou Zonal.
Pour créer une instance d'entreprise, vous devez exécuter des opérations directement via l'API Filestore.
Dans Capacité allouée, saisissez la capacité que vous souhaitez utiliser. Vous devez saisissez une valeur comprise entre 1 To et 10 To, par incréments de 256 Gio (0,25 Tio).
Dans Région, sélectionnez la région que vous souhaitez utiliser.
Dans Réseau VPC, sélectionnez le réseau que vous souhaitez utiliser pour le une instance Filestore et des clients NFS.
- Si le service Microsoft AD géré se trouve dans le même projet que Filestore le réseau VPC doit être autorisé Domaine Microsoft AD géré
- Si le service Microsoft AD géré se trouve dans un projet distinct, le VPC réseau doit être configuré avec l'appairage de réseaux Active Directory sur la configuration Microsoft AD gérée.
Dans Plage d'adresses IP allouée, sélectionnez Utilisez une plage d'adresses IP automatiquement allouée (recommandé).
Dans Protocole, sélectionnez NFSv4.1.
Configurer les paramètres d'authentification de l'instance
- Configurez les paramètres d'authentification de l'instance.
- Cliquez sur Authentification.
- Sélectionnez le projet hébergeant le service Microsoft AD géré. Dans le cadre de ce guide, nous supposerons que le projet actuel est celui sur lequel nous voulons utiliser.
- Dans la liste Rejoindre un domaine Active Directory, sélectionnez Domaine Microsoft AD géré que vous souhaitez utiliser.
- Dans le champ Nom du compte d'ordinateur, saisissez le nom du compte d'ordinateur. que vous souhaitez utiliser pour identifier l'instance Filestore Domaine Microsoft AD géré Le nom est limité à 15 caractères alphanumériques.
- Dans le champ Nom du partage de fichiers, saisissez le nom du partage seront utilisés par les clients NFSv4.1.
Dans le volet Contrôle des accès, effectuez l'une des opérations suivantes:
Si vous utilisez le service Microsoft AD géré, sélectionnez Limitez l'accès par adresse IP ou plage d'adresses IP.
- Définissez la règle d'accès par adresse IP ou sous-réseau. Pour le de ce guide, utilisez les paramètres suivants:
- Dans le champ Adresse IP ou plage 1, saisissez l'adresse IP. ou la plage que vous souhaitez utiliser.
- Cliquez sur la liste déroulante Accès 1, puis sélectionnez Admin.
- Cliquez sur la liste déroulante Mont
sec=
1, puis sélectionnez le sys.
Le propriétaire par défaut de
/
pour Filestore estroot
. À activer l'accès à l'instance pour d'autres utilisateurs et groupes ; vous devez créer une règle d'accès qui active la VM de gestion l'accès à l'aide du rôleAdmin
et de la sécuritésec=sys
.Si vous n'utilisez pas le service Microsoft AD géré, sélectionnez Accordez l'accès à tous les clients sur le réseau VPC.
Si le service Microsoft AD géré n'est pas utilisé, le seul service compatible le paramètre de sécurité est
sec=sys
.
Cliquez sur Créer pour créer l'instance.
gcloud
Installez et initialisez gcloud CLI.
Si la gcloud CLI est déjà installée, exécutez la commande suivante : pour la mettre à jour:
gcloud components update
Effectuez l'une des opérations suivantes:
Si vous utilisez le service Microsoft AD géré, exécutez la commande suivante :
gcloud beta filestore instances create
pour créer une instance Filestore zonale, régionale ou d'entreprise:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \ --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \ --project=CONSUMER_PROJECT_ID
Remplacez les éléments suivants :
- INSTANCE_ID est l'ID d'instance de Filestore. que vous souhaitez créer. Voir Attribuez un nom à l'instance.
- DESCRIPTION est la description de l'instance souhaitée. utiliser.
- LOCATION est l'emplacement où vous souhaitez afficher de l'instance Filestore.
- TIER est le niveau de service. que vous souhaitez utiliser.
- PROTOCOL est
NFS_v4_1
. - FILE_SHARE_NAME est le nom que vous spécifiez pour le NFS un partage de fichiers qui est diffusé depuis l'instance.
- CAPACITY est la taille souhaitée pour le partage de fichiers, entre 1 Tio et 10 Tio.
VPC_NETWORK est le nom du VPC. que l'instance doit utiliser. Voir Sélectionnez le réseau VPC. Si vous souhaitez spécifier un VPC partagé à partir d'un service vous devez spécifier le nom complet du réseau, est au format
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME
et vous devez spécifierconnect-mode=PRIVATE_SERVICE_ACCESS
, comme comme suit:--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS
Vous ne pouvez pas spécifier un ancien réseau. pour la valeur vpc_network. Si nécessaire, créez un un nouveau réseau VPC en suivant les instructions fournies dans Créez un réseau VPC en mode automatique.
MANAGED_AD_PROJECT_ID est l'ID du projet dans lequel Le service Microsoft AD géré se trouve.
MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser. Il s'agit du domaine que vous choisissez lors de la création d'un compte domaine.
DOMAIN_COMPUTER_ACCOUNT correspond au nom que vous souhaitez à appeler dans le domaine.
CONSUMER_PROJECT_ID est l'ID du projet que contenant l'instance Filestore.
CONNECT_MODE est
DIRECT_PEERING
ouPRIVATE_SERVICE_ACCESS
. Si vous spécifiez un VPC partagé comme réseau, vous devez spécifiez égalementPRIVATE_SERVICE_ACCESS
comme mode de connexion. Cet indicateur est requis pour l'appairage de réseaux VPC, qui est requis avec le service Microsoft AD géré.RESERVED_IP_RANGE est la plage d'adresses IP de l'instance Cloud Filestore. Si vous spécifiez
connect-mode=PRIVATE_SERVICE_ACCESS
et que vous voulez utiliser un d'adresses IP, vous devez spécifier le nom plage d'adresses allouée au lieu d'une plage CIDR. Voir Configurez une adresse IP réservée. Nous vous recommandons d'ignorer cette option pour autoriser Filestore de trouver automatiquement une plage d'adresses IP libre et de l'attribuer à l'instance.
Si vous n'utilisez pas le service Microsoft AD géré, exécutez la même commande que à l'étape précédente pour créer une instance Filestore, en omettant l'option
--managed-ad
et les options d'appairage de réseaux VPC, à savoirconnect-mode
etreserved-ip-range
. Utilisez les éléments suivants : à titre d'exemple:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK" \ --project=CONSUMER_PROJECT_ID
Découvrez les listes de contrôle des accès (LCA) basées sur le réseau dans NFSv4.1.
Dans NFSv3, seul le type de sécurité sys
est pris en charge. Ce paramètre fait confiance
les utilisateurs uid
et gid
fournis par le client lors de l'installation.
Dans le protocole Filestore NFSv4.1, plusieurs types de sécurité des LCA réseau ou paramètres sont disponibles:
krb5
Il authentifie le client à l'aide d'un ticket Kerberos, qui est validé. au serveur Microsoft AD géré Kerberos.
krb5i
Inclut l'authentification fournie par
krb5
et utilise Kerberos pour exécuter des vérifications de l'intégrité des messages sur tout le trafic réseau vers et depuis l'instance.krb5p
Inclut l'authentification fournie par
krb5
et les contrôles d'intégrité des messages dekrb5i
et utilise Kerberos pour le chiffrement des données en transit.
Si vous souhaitez profiter de ces options, l'intégration du service géré pour Microsoft Active Directory est obligatoire.
Si aucun domaine de service géré pour Microsoft Active Directory n'est spécifié, seul le type de sécurité sys
est défini.
est pris en charge.
Pour en savoir plus, consultez la section Limites de la version 4.1 de NFS.
Installer des instances Filestore NFSv4.1 sur des clients Linux
Les étapes suivantes vous expliquent comment installer des instances sur des clients Linux.
Installer avec
sec=sys
pour les autorisations NFS standards:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Installer avec
sec=krb5
pour l'authentification basée sur Kerberos:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Installer avec
sec=krb5i
pour l'authentification basée sur Kerberos et l'intégrité des messages vérifications:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Installez avec
sec=krb5p
pour l'authentification basée sur Kerberos, les vérifications d'intégrité, et le chiffrement en transit:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Remplacez les éléments suivants :
- FILESTORE-INSTANCE-FQDN est le nom de domaine complet où où se trouve l'instance Filestore.
- INSTANCE_SHARE_POINT est le nom du partage de fichiers de Filestore. à laquelle vous souhaitez vous connecter.
- MOUNT_POINT est le point d'installation ou le nom du répertoire dans lequel vous souhaitez à installer.
Configuration du client Linux
Une instance Filestore NFSv4.1 permet aux clients d'effectuer des opérations NFS en utilisant différents dispositifs de sécurité. Ces types sont configurés par l'instance administrateur via les listes de contrôle d'accès réseau sur le serveur Filestore NFSv4.1 pendant la création ou en cas de mise à jour après la création.
Le type de sécurité sys
utilise l'authentification Unix standard, tandis que krb5
,
Les types krb5i
et krb5p
utilisent l'authentification basée sur Kerberos.
Les types krb5
, krb5i
et krb5p
nécessitent que les clients soient connectés à
le même domaine Microsoft AD géré que l'instance Filestore.
Suivez la procédure ci-dessous adaptée à votre environnement.
Image Ubuntu
- Connectez-vous en SSH à l'instance Compute Engine.
Exécutez les commandes suivantes pour joindre le domaine Microsoft AD géré.
Exécutez la commande d'installation suivante:
sudo apt-get update \ sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry
Lorsque vous êtes invité à indiquer un domaine, remplacez l'entrée existante par le Domaine Microsoft AD géré utilisé sur Filestore Compute Engine. Saisissez la valeur en majuscules, puis appuyez sur la flèche pour sélectionner OK, puis appuyez sur Entrée.
Lorsque vous êtes invité à indiquer des hôtes, laissez ce champ vide et continuez.
Effectuez l'une des opérations suivantes:
Pour les VM dont la longueur de nom d'hôte est inférieure ou égale à 15 exécutez la commande suivante:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
Remplacez les éléments suivants :
- JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
- MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
Pour les VM dont la longueur de nom d'hôte est supérieure à 15 caractères, exécutez la commande suivante:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
Remplacez les éléments suivants :
- JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
- MANAGED_AD_REALM_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
- MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
Mettre à jour la configuration Kerberos Mettez à jour
/etc/krb5.conf
avec les Définition de domaine et mappage domaine-domaine:[realms] DOMAIN_NAME = { kdc = DOMAIN_NAME default_domain = DOMAIN_NAME } [domain_realm] .domain_name_lowercase = DOMAIN_NAME domain_name_lowercase = DOMAIN_NAME
Remplacez les éléments suivants :
- DOMAIN_NAME est le nom de domaine que vous voulez utiliser, saisi en majuscules.
- domain_name_lowercase est le nom de domaine que vous souhaitez utiliser, en minuscules.
Voici un exemple:
[realms] FILE.DEMO.LOCAL = { kdc = FILE.DEMO.LOCAL default_domain = FILE.DEMO.LOCAL } [domain_realm] .file.demo.local = FILE.DEMO.LOCAL file.demo.local = FILE.DEMO.LOCAL
Exécutez le service rpc-gssd. Ajoutez la valeur d'attribut
No-Strip
suivante : à la section[General]
dans/etc/idmapd.conf
:[General] No-Strip = both
Exécutez la commande suivante :
sudo systemctl restart rpc-gssd
Image Centos
- Ssh à l'instance Compute Engine.
Rejoignez le domaine Microsoft AD géré:
sudo yum update \ sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients
Effectuez l'une des opérations suivantes:
Pour les VM dont la longueur de nom d'hôte est inférieure ou égale à 15 caractères, exécutez la commande suivante:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
Remplacez les éléments suivants :
- JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
- MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
Pour les VM dont le nom d'hôte comporte plus de 15 caractères, exécutez la commande la commande suivante:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
Remplacez les éléments suivants :
- JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
- MANAGED_AD_REALM_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
- MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
Assurez-vous que le service SSD est en cours d'exécution:
sudo systemctl status sssd
Exécutez le service rpc-gssd. Ajoutez ce qui suit sous l'attribut
No-Strip
à la section[General]
dans/etc/idmapd.conf
:[General] No-Strip = both
Exécutez la commande suivante : Cette commande permet de s’assurer que le client NFS ne supprimer le nom de domaine du nom d'hôte du serveur NFS. Pour plus d'informations, Voir Archives de la liste NFS Ganesha et Arch Linux Archive:
sudo systemctl start rpc-gssd
Se déconnecter d'une instance Filestore et se reconnecter au service Microsoft AD géré
console Google Cloud
Déconnecter un service Microsoft AD géré d'une instance Filestore
Déconnectez une instance Filestore connectée au service Microsoft AD géré.
Dans la console Google Cloud, accédez à la page "Instances Filestore".
Cliquez sur l'ID de l'instance à modifier.
Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur
Déconnectez le domaine AD.Dans la fenêtre Échec de la déconnexion du domaine, lisez l'alerte. Cliquez sur Modifier l'instance.
Au moins une règle dans Contrôle des accès doit être mappée sur le rôle Administrateur avec le paramètre de sécurité d'installation
sys
, par exemple : Access=Admin Mount etsec=
sys.Dans le volet Modifier le partage, localisez la règle dans laquelle L'accès est défini sur Administrateur. Cliquez sur Installer
sec=
..., puis sélectionnezsys
pour ajouter cette option au paramètre existant.Cliquez sur OK.
Cliquez sur Enregistrer.
À côté de Nom du service d'annuaire, cliquez sur
Déconnectez le domaine AD.Dans le champ de la fenêtre Se déconnecter du domaine ?, saisissez le nom. du domaine dont vous souhaitez vous déconnecter.
Cliquez sur Déconnecter.
Modifier les règles d'accès
Actualisez la page. Notez que Nom du service d'annuaire est maintenant défini sur Aucun.
Cliquez sur Modifier.
Dans le volet Modifier le partage, localisez toute règle définissant l'accès à un rôle. autre que Admin (par exemple, Editor). Dans la règle, cliquez sur Installez
sec=
, puis sélectionnezsys
pour l'ajouter . Cliquez sur OK.Cliquez sur Enregistrer.
Actualisez la page.
Les paramètres de la règle sont mis à jour.
Reconnecter un service Microsoft AD géré à une instance Filestore
Reconnectez une instance Filestore au service Microsoft AD géré.
Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur
Rejoindre un domaine ADDans la fenêtre Associer cette instance à un domaine Active Directory, procédez comme suit : sélectionnez Utiliser les domaines du projet actuel Dans le menu Rejoindre un domaine Active Directory, sélectionnez le domaine que vous souhaitez utiliser.
Dans le menu Nom du compte d'ordinateur, saisissez un nom.
Cliquez sur Rejoindre le domaine.
Actualisez la page. Notez que le nom du service d'annuaire a été mis à jour. avec votre sélection.
Cliquez sur Modifier.
Dans le volet Modifier le partage, cliquez sur Installez
sec=
... dans toutes les règles applicables et supprimezsys
. de votre choix. Cliquez sur OK.Cliquez sur Enregistrer.
Actualisez la page.
Les paramètres de la règle sont mis à jour.
Étape suivante
- Modifiez une instance Filestore.
- Créez une instance sur un réseau VPC partagé dans les projets de service.