La guida seguente mostra come implementare il protocollo NFSv4.1 con una nuova istanza Filestore.
Informazioni su NFSv4.1
Filestore offre il supporto del protocollo NFSv4.1 (anteprima) per le istanze create in livelli di servizio aziendali o di zona.
Questa funzionalità può essere integrata con Managed Service per Microsoft Active Directory (Microsoft AD gestito) per supportare carichi di lavoro che richiedono l'autenticazione di client e server, controlli dell'integrità dei dati dei messaggi e crittografia dei dati in transito, funzionalità precedentemente non disponibili in Filestore.
L'autenticazione è supportata utilizzando LDAP e Kerberos e include le seguenti impostazioni di sicurezza (impostazioni):
- Autenticazione client e server (
krb5
). - Controlli di integrità del messaggio (
krb5i
). Include le funzionalità dell'impostazione precedente. - Crittografia dei dati in transito (
krb5p
). Include le funzionalità dell'impostazione precedente.
- Autenticazione client e server (
Microsoft AD gestito è l'unica soluzione Google Cloud completamente gestita che supporta sia LDAP che Kerberos, i requisiti per il protocollo NFSv4.1 e i suoi vantaggi in termini di sicurezza e privacy. Sebbene non sia richiesta l'integrazione con Microsoft AD gestito, ti consigliamo vivamente di offrire un'esperienza utente Google Cloud ottimale per gestire gli account utente, nonché i gruppi e le autorizzazioni fluttuanti.
Devi usare NFSv4.1?
Molte organizzazioni si affidano a sistemi legacy per operazioni business-critical. Molti di questi sistemi richiedono l'autenticazione e la crittografia in transito per l'archiviazione dei file di rete. NFSv3 non è stato progettato pensando all'autenticazione. L'integrazione del protocollo NFSv4.1 di Filestore con Microsoft AD gestito ora soddisfa questo requisito critico relativo agli utenti.
Obiettivi
In questa guida imparerai a completare le attività seguenti:
- Crea un'istanza Filestore che utilizza NFSv4.1.
- Connetti o disconnetti Microsoft AD gestito da un'istanza Filestore.
Crea un'istanza Filestore che utilizza NFSv4.1
Per utilizzare Microsoft AD gestito con un'istanza Filestore, il dominio Microsoft AD gestito deve essere creato prima dell'istanza Filestore.
Prima di iniziare
Sia il dominio Microsoft AD gestito che l'istanza Filestore devono utilizzare lo stesso VPC nello stesso progetto.
Se il servizio Microsoft AD gestito è ospitato in un progetto separato dall'istanza Filestore che vuoi utilizzare, la rete VPC Filestore deve essere connessa in peering con il dominio Microsoft AD gestito.
Per maggiori informazioni, consulta Eseguire il deployment di Microsoft Active Directory gestito con l'accesso tra progetti utilizzando il peering di dominio.
Completa tutti i passaggi di configurazione per creare un'istanza Filestore.
Assicurati che gli utenti di Microsoft AD gestito abbiano i campi POSIX RFC 2307 e RFC 2307bis compilati, simili all'esempio seguente.
Per ulteriori informazioni su come configurare gli oggetti in Microsoft AD gestito, consulta Oggetti di Active Directory gestiti.
Utenti e computer di Active Directory
I passaggi seguenti descrivono gli attributi da impostare per utenti e gruppi LDAP. Puoi gestire gli attributi POSIX utilizzando lo snapshot MMC Utenti e computer di Active Directory.
Apri l'Editor attributi nel seguente modo:
- Fai clic su Avvia.
Fai clic su Strumenti di amministrazione Windows e seleziona Utenti e computer di Active Directory.
Si apre la finestra Utenti e computer di Active Directory.
Seleziona il nome di dominio che vuoi visualizzare. Per espandere i contenuti, fai clic sulla
freccia di espansione.Nel menu Visualizzazione Utenti e computer di Active Directory, seleziona Funzionalità avanzate.
Nel riquadro a sinistra, fai doppio clic su Utenti.
Nell'elenco degli utenti, fai doppio clic su un utente per visualizzare la scheda Editor attributi.
Per gli utenti LDAP devono essere impostati i seguenti attributi:
uid
uidNumber
cn
gidNumber
objectClass
Ogni utente deve avere un
uidNumber
univoco. Tieni presente che il valore dell'attributouid
è sensibile alle maiuscole. Per l'attributoobjectClass
,user
è l'impostazione predefinita sulla maggior parte dei deployment di Active Directory (AD). Ecco un esempio:uid: Alice uidNumber: 139 gidNumber: 555 objectClass: user
Per i gruppi LDAP devono essere impostati i seguenti attributi:
cn
gidNumber
objectClass
Ogni gruppo deve avere un
gidNumber
univoco. Tieni presente che il valore dell'attributocn
è sensibile alle maiuscole. Per l'attributoobjectClass
,group
è l'impostazione predefinita nella maggior parte dei deployment AD. Ecco un esempio:cn: AliceGroup gidNumber: 555 objectClass: group
Concedi l'accesso a Filestore per creare e gestire gli oggetti nella versione gestita di Microsoft AD utilizzando il comando
gcloud projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \ --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \ --format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \ --role=roles/managedidentities.filestoreintegrator
Sostituisci quanto segue:
- MANAGED_MICROSOFT_AD_PROJECT_ID è l'ID del progetto in cui si trova il dominio Microsoft Active Directory gestito.
- PROJECT_ID è l'ID del progetto in cui si trova l'istanza Filestore.
Potresti visualizzare il seguente errore:
INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.
In questo caso, utilizza il comando seguente per risolverlo:
gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID
Crea un'istanza Filestore con o senza Microsoft AD gestito
In questa sezione creerai un'istanza Filestore configurata per l'utilizzo con il protocollo NFSv4.1. Sono inclusi i passaggi facoltativi per gli utenti che scelgono di non utilizzare Microsoft Active Directory gestito.
Assicurati di disporre di una quota sufficiente.
Gli intervalli di quota delle istanze in base alla località della regione e al livello di servizio che vuoi utilizzare. Per aumentare la quota disponibile, devi inviare una richiesta di aumento della quota.
Console Google Cloud
Configura i parametri dell'istanza
Nella console Google Cloud, vai alla pagina Istanze Filestore.
Fai clic su Crea istanza.
Specifica i parametri di base dell'istanza, tra cui nome, tipo di istanza e capacità:
- Nel campo ID istanza, inserisci il nome da utilizzare per l'istanza Filestore.
- In Tipo di istanza, seleziona Enterprise o A livello di zona.
- In Capacità allocata, inserisci la capacità che vuoi utilizzare. Devi inserire un valore compreso tra 1 TB e 10 TB, con incrementi di 256 GiB (0,25 TiB).
- In Regione, seleziona la regione che vuoi utilizzare.
- In Rete VPC, seleziona la rete che vuoi utilizzare per l'istanza Filestore e i client NFS.
- Se Microsoft AD gestito si trova nello stesso progetto dell'istanza Filestore, la rete VPC deve essere autorizzata nel dominio Microsoft AD gestito.
- Se Microsoft Active Directory gestito si trova in un progetto separato, la rete VPC deve essere configurata con il peering di rete Active Directory nella configurazione Microsoft Active Directory gestito.
- In Intervallo IP allocato, seleziona Utilizza un intervallo IP allocato automaticamente (consigliato).
- In Protocollo, seleziona NFSv4.1.
Configura le impostazioni di autenticazione dell'istanza
- Configura le impostazioni di autenticazione dell'istanza.
- Fai clic su Autenticazione.
- Seleziona il progetto che ospita Microsoft Active Directory gestito. Ai fini di questa guida, supporremo che il progetto attuale sia quello che vogliamo utilizzare.
- Nell'elenco Partecipa a un dominio Active Directory, seleziona il dominio Microsoft AD gestito che vuoi utilizzare.
- Nel campo Nome account computer, inserisci il nome dell'account computer che vuoi utilizzare per identificare l'istanza Filestore nel dominio Microsoft AD gestito. Il nome è limitato a 15 caratteri alfanumerici.
- Nel campo Nome condivisione file, inserisci il nome della condivisione così come verrà utilizzato dai client NFSv4.1.
Nel riquadro Controllo accesso, completa uno dei seguenti passaggi:
Se utilizzi Microsoft AD gestito, seleziona Limita l'accesso in base all'indirizzo o all'intervallo IP.
- Imposta la regola di accesso in base all'IP o alla subnet che vuoi definire. Ai fini di questa guida, utilizza le seguenti impostazioni:
- Nel campo Indirizzo IP o intervallo 1, inserisci l'indirizzo o l'intervallo IP che vuoi utilizzare.
- Fai clic sull'elenco a discesa Accesso 1 e seleziona Amministratore.
- Fai clic sull'elenco a discesa Installa
sec=
1 e seleziona la casella di controllo sys.
Il proprietario predefinito di
/
di Filestore èroot
. Per abilitare l'accesso all'istanza per altri utenti e gruppi, devi creare una regola di accesso che consenta l'accesso alle VM di gestione utilizzando il ruoloAdmin
e l'impostazione di sicurezzasec=sys
.Se non utilizzi Microsoft Active Directory gestito, seleziona Concedi l'accesso a tutti i client sulla rete VPC.
Se non viene utilizzato Microsoft AD gestito, l'unica impostazione di sicurezza supportata è
sec=sys
.
Fai clic sul pulsante Crea per creare l'istanza.
gcloud
Installa e inizializza gcloud CLI.
Se hai già installato gcloud CLI, esegui questo comando per aggiornarlo:
gcloud components update
Completa uno dei seguenti passaggi:
Se utilizzi Microsoft AD gestito, esegui il comando
gcloud beta filestore instances create
seguente per creare un'istanza di Filestore aziendale o di zona:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \ --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \ --project=CONSUMER_PROJECT_ID
Sostituisci quanto segue:
- INSTANCE_ID è l'ID dell'istanza Filestore che vuoi creare. Consulta Assegna un nome all'istanza.
- DESCRIPTION è una descrizione dell'istanza che vuoi utilizzare.
- LOCATION è la località in cui vuoi che si trovi l'istanza Filestore.
- TIER è il livello di servizio che vuoi utilizzare.
- PROTOCOL è
NFS_v4_1
. - FILE_SHARE_NAME è il nome specificato per la condivisione file NFS pubblicata dall'istanza.
- CAPACITY è la dimensione desiderata per la condivisione file, compreso tra 1 TiB e 10 TiB.
VPC_NETWORK è il nome della rete VPC che vuoi che l'istanza utilizzi. Vedi Selezionare la rete VPC. Se vuoi specificare un VPC condiviso da un progetto di servizio, devi specificare il nome completo della rete, nel formato
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME
, e specificareconnect-mode=PRIVATE_SERVICE_ACCESS
, in modo simile al seguente:--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS
Non puoi specificare una rete precedente per il valore vpc_network. Se necessario, crea una nuova rete VPC da utilizzare seguendo le istruzioni riportate in Creare una rete VPC in modalità automatica.
MANAGED_AD_PROJECT_ID è l'ID progetto in cui si trova il servizio Microsoft AD gestito.
MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare. È il nome di dominio che scegli durante la creazione di un dominio Microsoft Active Directory gestito.
DOMAIN_COMPUTER_ACCOUNT è qualsiasi nome che vuoi che il cluster venga chiamato nel dominio.
CONSUMER_PROJECT_ID è l'ID del progetto che contiene l'istanza Filestore.
CONNECT_MODE è
DIRECT_PEERING
oPRIVATE_SERVICE_ACCESS
. Se stai specificando un VPC condiviso come rete, devi anche specificarePRIVATE_SERVICE_ACCESS
come modalità di connessione. Questo flag è obbligatorio per il peering di rete VPC, che è obbligatorio quando si utilizza Microsoft AD gestito.RESERVED_IP_RANGE è l'intervallo di indirizzi IP per l'istanza Filestore. Se specifichi
connect-mode=PRIVATE_SERVICE_ACCESS
e vuoi utilizzare un intervallo di indirizzi IP riservato, devi specificare il nome di un intervallo di indirizzi allocato anziché di un intervallo CIDR. Consulta Configurare un indirizzo IP riservato. Ti consigliamo di saltare questo flag per consentire a Filestore di trovare automaticamente un intervallo di indirizzi IP gratuito e di assegnarlo all'istanza.
Se non utilizzi Microsoft AD gestito, esegui lo stesso comando del passaggio precedente per creare un'istanza Filestore, omettendo il flag
--managed-ad
e i flag per il peering di rete VPC, ovveroconnect-mode
ereserved-ip-range
. Usa il seguente comando come esempio:gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK" \ --project=CONSUMER_PROJECT_ID
Informazioni sugli elenchi di controllo dell'accesso dell'accesso (ACL) basati sulla rete in NFSv4.1.
In NFSv3 è supportata solo la versione di sicurezza sys
. Questa impostazione considera attendibili
gli utenti uid
e gid
forniti dal client durante il montaggio.
Nel protocollo Filestore NFSv4.1 sono disponibili diverse impostazioni o schemi di sicurezza ACL di rete:
krb5
Autentica il client utilizzando un ticket Kerberos, che viene convalidato dal server Kerberos di Microsoft AD gestito.
krb5i
Include l'autenticazione fornita da
krb5
e utilizza anche Kerberos per eseguire controlli di integrità dei messaggi su tutto il traffico di rete da e verso l'istanza.krb5p
Include l'autenticazione fornita da
krb5
e i controlli di integrità dei messaggi dikrb5i
e utilizza anche Kerberos per la crittografia dei dati in transito.
Se vuoi sfruttare queste opzioni, è necessaria l'integrazione di Managed Service for Microsoft Active Directory.
Se non viene specificato un dominio Managed Service for Microsoft Active Directory, è supportata solo la versione di sicurezza sys
.
Per ulteriori informazioni, consulta le limitazioni di NFSv4.1.
Montaggio delle istanze NFSv4.1 di Filestore su client Linux
I passaggi seguenti mostrano come montare le istanze sui client Linux.
Monta con
sec=sys
per le autorizzazioni NFS standard:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Monta con
sec=krb5
per l'autenticazione basata su Kerberos:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Monta con
sec=krb5i
per l'autenticazione basata su Kerberos e i controlli di integrità dei messaggi:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Monta con
sec=krb5p
per l'autenticazione basata su Kerberos, i controlli di integrità e la crittografia dei dati in transito:sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
Sostituisci quanto segue:
- FILESTORE-INSTANCE-FQDN è il nome di dominio completo in cui si trova l'istanza Filestore.
- INSTANCE_SHARE_POINT è il nome della condivisione file dell'istanza Filestore che vuoi connettere.
- MOUNT_POINT è il punto di montaggio o il nome della directory in cui vuoi montare.
Configurazione client Linux
Un'istanza Filestore NFSv4.1 consente ai client di eseguire operazioni NFS utilizzando diverse versioni di sicurezza. Queste versioni personalizzate vengono configurate dall'amministratore dell'istanza tramite ACL di rete sull'istanza NFSv4.1 di Filestore, durante la creazione o se vengono aggiornate dopo la creazione.
La versione di sicurezza sys
utilizza l'autenticazione Unix standard, mentre le versioni krb5
, krb5i
e krb5p
utilizzano l'autenticazione basata su Kerberos.
Le versioni krb5
, krb5i
e krb5p
richiedono che i client siano connessi allo stesso dominio Microsoft AD gestito dell'istanza Filestore.
Completa i seguenti passaggi appropriati per il tuo ambiente.
Immagine Ubuntu
- SSH all'istanza di Compute Engine.
Esegui i comandi seguenti per unire il dominio Microsoft Active Directory gestito.
Esegui questo comando di configurazione:
sudo apt-get update \ sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry
Quando viene richiesta l'area di autenticazione, sostituisci la voce esistente con il dominio Microsoft AD gestito utilizzato nell'istanza Filestore. Inserisci il valore in maiuscolo, premi il tasto Freccia per selezionare OK, poi premi Invio.
Quando vengono richiesti gli host, lascia il campo vuoto e procedi.
Completa uno dei seguenti passaggi:
Per le VM con una lunghezza del nome host inferiore o uguale a 15 caratteri, esegui questo comando:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
Sostituisci quanto segue:
- JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
- MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.
Per le VM con una lunghezza del nome host superiore a 15 caratteri, esegui questo comando:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
Sostituisci quanto segue:
- JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
- MANAGED_AD_REALM_NAME è il nome di autenticazione del servizio Microsoft AD gestito che vuoi utilizzare.
- MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.
Aggiorna configurazione Kerberos. Aggiorna
/etc/krb5.conf
con la definizione dell'area di autenticazione e la mappatura del dominio dell'area di autenticazione richieste:[realms] DOMAIN_NAME = { kdc = DOMAIN_NAME default_domain = DOMAIN_NAME } [domain_realm] .domain_name_lowercase = DOMAIN_NAME domain_name_lowercase = DOMAIN_NAME
Sostituisci quanto segue:
- DOMAIN_NAME è il nome di dominio da utilizzare, inserito in maiuscolo.
- domain_name_lowercase è il nome di dominio da utilizzare, in minuscolo.
Fai riferimento a quanto segue per un esempio:
[realms] FILE.DEMO.LOCAL = { kdc = FILE.DEMO.LOCAL default_domain = FILE.DEMO.LOCAL } [domain_realm] .file.demo.local = FILE.DEMO.LOCAL file.demo.local = FILE.DEMO.LOCAL
Esegui il servizio rpc-gssd. Aggiungi il seguente valore dell'attributo
No-Strip
alla sezione[General]
all'interno di/etc/idmapd.conf
:[General] No-Strip = both
Esegui questo comando:
sudo systemctl restart rpc-gssd
Immagine di Centos
- Usa SSH per accedere all'istanza di Compute Engine.
Aggiungi al dominio Microsoft Active Directory gestito:
sudo yum update \ sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients
Completa uno dei seguenti passaggi:
Per le VM con una lunghezza del nome host inferiore o uguale a 15 caratteri, esegui questo comando:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
Sostituisci quanto segue:
- JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
- MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.
Per le VM con una lunghezza del nome host superiore a 15 caratteri, esegui questo comando:
sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
Sostituisci quanto segue:
- JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
- MANAGED_AD_REALM_NAME è il nome di area di autenticazione del servizio Microsoft AD gestito che vuoi utilizzare.
- MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.
Assicurati che il servizio SSD sia in esecuzione:
sudo systemctl status sssd
Esegui il servizio rpc-gssd. Aggiungi quanto segue sotto il valore dell'attributo
No-Strip
alla sezione[General]
all'interno di/etc/idmapd.conf
:[General] No-Strip = both
Esegui questo comando. Questo comando aiuta a garantire che il client NFS non elimini il nome di dominio dal nome host del server NFS. Per ulteriori informazioni, consulta NFS Ganesha List Archives e Arch Linux Archive:
sudo systemctl start rpc-gssd
Disconnettiti e riconnettiti a Microsoft AD gestito da un'istanza Filestore
Console Google Cloud
Disconnetti un Microsoft AD gestito da un'istanza Filestore
Scollega un'istanza Filestore connessa a Microsoft AD gestito.
Nella console Google Cloud, vai alla pagina Istanze Filestore.
Fai clic sull'ID istanza dell'istanza da modificare.
Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome servizio directory, fai clic su
Disconnetti dominio AD.Nella finestra Disconnessione dal dominio non riuscita, leggi l'avviso e fai clic su Modifica istanza.
Almeno una regola in Controllo dell'accesso deve essere mappata al ruolo Amministratore con l'impostazione di sicurezza di montaggio
sys
, ad esempio Accesso=montaggio amministratore esec=
sys.Nel riquadro Modifica condivisione, individua la regola in cui Accesso è impostato su Amministratore. Fai clic su Monta
sec=
... e selezionasys
per aggiungere questa opzione all'impostazione esistente.Fai clic su Ok.
Fai clic su Salva.
Accanto a Nome servizio directory, fai clic su
Disconnetti dominio AD.Nel campo della finestra Vuoi disconnetterti?, inserisci il nome del dominio da cui vuoi disconnetterti.
Fai clic su Disconnetti.
Modifica le regole di accesso
Aggiorna la pagina. Tieni presente che il campo Nome servizio directory è ora impostato su Nessuno.
Fai clic su Modifica.
Nel riquadro Modifica condivisione, individua una regola che imposti l'accesso per un ruolo diverso da Amministratore, ad esempio Editor. Nella regola, fai clic su Installa
sec=
... e selezionasys
per aggiungerla all'impostazione esistente. Fai clic su OK.Fai clic su Salva.
Aggiorna la pagina.
Le impostazioni delle regole vengono aggiornate.
Riconnettere un account Microsoft AD gestito a un'istanza Filestore
Riconnettere un'istanza Filestore a Microsoft AD gestito.
Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome servizio directory, fai clic su
Accedi al dominio AD.Nella finestra Unisci questa istanza a un dominio Active Directory, seleziona Utilizza i domini del progetto attuale e nel menu Partecipa a un dominio Active Directory, seleziona il dominio che vuoi utilizzare.
Inserisci un nome nel menu Nome account computer.
Fai clic su Join Domain.
Aggiorna la pagina. Tieni presente che il campo Nome servizio directory è stato aggiornato con la tua selezione.
Fai clic su Modifica.
Nel riquadro Modifica condivisione, fai clic su Monta
sec=
... in tutte le regole applicabili e rimuovi la selezione disys
. Fai clic su OK.Fai clic su Salva.
Aggiorna la pagina.
Le impostazioni delle regole vengono aggiornate.
Passaggi successivi
- Modifica un'istanza di Filestore.
- Crea un'istanza su una rete VPC condiviso nei progetti di servizio.