Active Directory-Integration von Google Cloud NetApp Volumes

Auf dieser Seite wird die Active Directory-Integration von Google Cloud NetApp Volumes beschrieben.

Integration

Eine Active Directory-Richtlinie gibt NetApp Volumes an, wie eine Verbindung zu Active Directory hergestellt werden soll. In Speicherpoolkonfigurationen werden Active Directory-Richtlinien verwendet, um die Active Directory-Einstellungen der darin erstellten Volumes zu definieren.

Active Directory-Richtlinien sind regionsspezifisch und Sie können bis zu fünf Richtlinien pro Region konfigurieren.

Dateifreigabeprotokolle wie SMB (CIFS), NFSv3 mit erweiterten Gruppen und NFSv4, die Sicherheitsprinzipien verwenden, sind auf externe Verzeichnisdienste angewiesen, um Informationen zur Nutzeridentität bereitzustellen. NetApp Volumes verwendet Active Directory für Verzeichnisdienste. Active Directory bietet die folgenden Dienste:

• LDAP-Server: Hier werden Objekte wie Nutzer, Gruppen oder Maschinen abgerufen.

• DNS-Server: Auflösung von Hostnamen und Erkennung von Active Directory-Domaincontrollern

• Kerberos-Server: führen die Authentifizierung durch

Weitere Informationen finden Sie unter Best Practices für die Ausführung von Active Directory in Google Cloud.

Anwendungsfälle für Active Directory

NetApp Volumes verwendet Active Directory für mehrere Anwendungsfälle:

• SMB-Domaindienst: Active Directory ist der zentrale Domaindienst für SMB. Es verwendet SMB für die Authentifizierung und Identitätsabfragen für Nutzer und Gruppen. NetApp-Volumes werden der Domain als Mitglied hinzugefügt, unterstützen aber SMB nicht im Arbeitsgruppenmodus.

• Unterstützung erweiterter Gruppen für NFSv3: Bei NFSv3 mit erweiterter Gruppenunterstützung stellt Active Directory den LDAP-Server bereit, der zum Auffinden von Objekten wie Nutzern, Gruppen oder Computerkonten erforderlich ist. Insbesondere für Nutzer- und Gruppen-ID-Suchanfragen ist ein RFC2307bis-kompatibler LDAP-Server erforderlich. Die LDAP-Unterstützung wird bei der Erstellung von Speicherpools aktiviert.

  Bei der erweiterten Gruppenunterstützung werden alle Gruppen-IDs ignoriert, die vom NFS-Client in einem NFS-Aufruf gesendet werden. Stattdessen wird die Nutzer-ID der Anfrage verwendet, um alle Gruppen-IDs für die angegebene Nutzer-ID auf dem LDAP-Server abzurufen und Dateiberechtigungen zu prüfen.

  Weitere Informationen finden Sie unter LDAP-POSIX-Attribute verwaltenRFC2307bis.

• Zuordnung von NFSv4.x-Sicherheitsprinzipalen zu Nutzer- und Gruppen-IDs: Bei NFSv4.x ordnet NetApp Volumes mithilfe von Active Directory Sicherheitsprinzipale Nutzer- und Gruppen-IDs zu. NFSv4 verwendet ein prinzipalenbasiertes Authentifizierungsmodell. Bei der prinzipalen Authentifizierung identifizieren Sicherheitsprinzipale Nutzer, die das Format user@dns_domain haben (siehe RFC 7530 Sicherheitsaspekte), anstelle von Nutzer-IDs und Gruppen-IDs. Wenn Sie Sicherheitsprinzipale Nutzer-IDs und Gruppen-IDs zuordnen möchten, wenn Sie über ein NFSv4.x-Protokoll auf das Volume zugreifen, benötigt NetApp Volumes einen RFC2307bis-kompatiblen LDAP-Server. NetApp Volumes unterstützt nur Active Directory-LDAP-Server. Die LDAP-Unterstützung wird bei der Erstellung von Speicherpools aktiviert.

  Wenn Sie Sicherheitsprinzipale verwenden möchten, müssen der NFS-Client und der NFS-Server mit derselben LDAP-Quelle verbunden sein und Sie müssen die Datei idmapd.conf auf dem Client konfigurieren. Weitere Informationen zum Konfigurieren der idmapd.conf-Datei finden Sie in der Ubuntu-Dokumentation zum Konfigurieren der idmapd.conf-Datei für libnfsidmap.

  Für dns_domain wird der Active Directory-Domainname verwendet und user ist der Name des Active Directory-Nutzers. Verwenden Sie diese Werte, wenn Sie Ihre LDAP-POSIX-Attribute festlegen.

  Wenn Sie NFSv4.1 ohne ID-Zuordnung verwenden und nur Nutzer- und Gruppen-IDs wie bei NFSv3 verwenden möchten, verwenden Sie numerische IDs, um Sicherheitsprinzipale zu ignorieren. NetApp Volumes unterstützt numerische IDs. Aktuelle NFS-Clients verwenden standardmäßig numerische IDs, wenn die ID-Zuordnung nicht konfiguriert ist.

• NFSv4.x mit Kerberos:Wenn Sie Kerberos verwenden, müssen Sie Active Directory als LDAP-Server für die Suche nach Sicherheits-Principals verwenden. Kerberos-Principals werden als Sicherheits-IDs verwendet. Das Kerberos Key Distribution Center verwendet Active Directory. Dazu müssen Sie dem Pool eine Active Directory-Richtlinie mit Kerberos-Einstellungen zuweisen und beim Erstellen des Pools die LDAP-Unterstützung aktivieren.

Erforderliche Berechtigungen zum Erstellen von Active Directory-Computerkonten

Sie können einem Windows-Active Directory-Konto, das Berechtigungen zum Verbinden eines Computers mit der Domain hat, NetApp Volumes-Maschinenobjekte hinzufügen. Diese Gruppe ist in der Regel die Gruppe Domain Admins. In Active Directory können Sie jedoch die erforderlichen Berechtigungen an einzelne Nutzer oder Gruppen auf Domain- oder Organisationseinheitsebene delegieren.

Sie können diese Berechtigungen mit dem Assistenten zur Delegierung der Zugriffssteuerung in Active Directory gewähren, indem Sie eine benutzerdefinierte Aufgabe erstellen, mit der Sie Computerobjekte mit den folgenden Zugriffsberechtigungen erstellen und löschen können:

• Lese- und Schreibzugriff

• Alle untergeordneten Objekte erstellen und löschen

• Alle Properties lesen und schreiben

• Passwort ändern und zurücksetzen („Richtlinien zum Lesen und Schreiben von Domainpasswörtern und Sperrungen“)

Wenn Sie eine Nutzerdelegierung vornehmen, wird der Organisationseinheit in Active Directory eine Sicherheitszugriffskontrollliste für den definierten Nutzer hinzugefügt und der Zugriff auf die Active Directory-Umgebung wird minimiert. Nachdem ein Nutzer delegiert wurde, können Sie den Nutzernamen und das Passwort als Anmeldedaten für die Active Directory-Richtlinie angeben.

Für zusätzliche Sicherheit werden bei der Abfrage und Erstellung des Objekts für das Computerkonto der Nutzername und das Passwort, die an die Active Directory-Domain übergeben werden, mit Kerberos verschlüsselt.

Active Directory-Domaincontroller

Um NetApp-Volumes mit Ihrer Domain zu verbinden, verwendet der Dienst die DNS-basierte Suche, um eine Liste der verfügbaren Domaincontroller zu ermitteln.

Der Dienst führt die folgenden Schritte aus, um einen zu verwendenden Domaincontroller zu finden:

1. Active Directory-Standortermittlung: NetApp Volumes verwendet einen LDAP-Ping an die in der Active Directory-Richtlinie angegebene DNS-Server-IP-Adresse, um die Informationen zum Active Directory-Standort-Subnetz abzurufen. Es gibt eine Liste von CIDRs und den Active Directory-Websites zurück, die diesen CIDRs zugewiesen sind.

   Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

2. Websitenamen definieren: Wenn die IP-Adresse des Volumes mit einem der definierten Subnetze übereinstimmt, wird der zugehörige Websitename verwendet. Übereinstimmungen mit kleineren Subnetzen haben Vorrang vor Übereinstimmungen mit größeren Subnetzen. Wenn die IP-Adresse des Volumes nicht bekannt ist, erstellen Sie manuell ein temporäres Volume mit dem NFS-Protokolltyp, um das verwendete /28-CIDR zu ermitteln.

   Wenn in Active Directory kein Websitename definiert ist, wird der in der Active Directory-Richtlinie konfigurierte Websitename verwendet. Wenn kein Websitename konfiguriert ist, wird für die Dienstebenen „Standard“, „Premium“ und „Extreme“ die Website Default-First-Site-Name verwendet. Wenn die Flex-Dienstebene versucht, die Website Default-First-Site-Name zu verwenden, schlägt dies fehl und die Flex-Dienstebene verwendet stattdessen die vollständige Domänencontroller-Erkennung. Änderungen am Active Directory-Standortparameter werden von Speicherpools mit dem Flex-Servicelevel ignoriert.

3. Domaincontroller-Erkennung: Nachdem alle erforderlichen Informationen erfasst wurden, identifiziert der Dienst mit der folgenden DNS-Abfrage potenzielle Domaincontroller:

   nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

   Für die vollständige Domainerkennung verwendet der Dienst die folgende DNS-Abfrage:

   nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

4. Erstellung einer Domaincontrollerliste: Es wird eine Liste von Domaincontrollern erstellt. NetApp Volumes überwacht sie alle kontinuierlich auf Verfügbarkeit. Aus den verfügbaren Domaincontrollern wird einer für den Domainbeitritt und ‑abgleich ausgewählt. Wenn der ausgewählte Domaincontroller nicht mehr verfügbar ist, wird automatisch ein anderer Domaincontroller aus der Liste Verfügbar verwendet. Der von Ihnen ausgewählte Domaincontroller ist nicht unbedingt der angegebene DNS-Server.

Sie müssen mindestens einen zugänglichen Domaincontroller für den Dienst angeben. Wir empfehlen mehrere, um die Verfügbarkeit des Domaincontrollers zu verbessern. Achten Sie darauf, dass es einen gerouteten Netzwerkpfad zwischen NetApp-Volumes und den Domaincontrollern gibt und dass die Firewallregeln auf Ihren Domaincontrollern NetApp-Volumes eine Verbindung erlauben.

Weitere Informationen finden Sie unter Überlegungen zum Active Directory-Design und Best Practices.

Active Directory-Domaincontroller-Topologien

Nachdem Sie eine Verbindung zu Active Directory-Domaincontrollern hergestellt haben, können Sie die folgenden Dateifreigabeprotokolle verwenden:

• KMU

• NFSv3 mit erweiterten Gruppen

• NFSv4 mit Sicherheitsprinzipalen und Kerberos

In den folgenden Szenarien werden mögliche Topologien beschrieben. In den Szenarien wird nur der Domaincontroller beschrieben, der von NetApp Volumes verwendet wird. Andere Domaincontroller für dieselbe Domain werden nur beschrieben, wenn dies erforderlich ist. Wir empfehlen, aus Gründen der Redundanz und Verfügbarkeit mindestens zwei Domaincontroller bereitzustellen.

• Active Directory-Domaincontroller und Volumes in einer Region: Dieses Szenario ist die einfachste Bereitstellungsstrategie, bei der sich ein Domaincontroller in derselben Region wie das Volume befindet.

• Active Directory-Domaincontroller und Volumes in verschiedenen Regionen: Sie können einen Domaincontroller in einer anderen Region als ein Volume verwenden. Das kann sich negativ auf die Authentifizierung und die Leistung des Dateizugriffs auswirken.

• Active Directory-Domaincontroller in mehreren Regionen mit AD-Websites: Wenn Sie Volumes in mehreren Regionen verwenden, empfehlen wir, mindestens einen Domaincontroller in jeder Region zu platzieren. Der Dienst versucht zwar, den besten Domaincontroller automatisch auszuwählen, wir empfehlen jedoch, die Auswahl des Domaincontrollers mit Active Directory-Websites zu verwalten.

• Active Directory-Domaincontroller in einem lokalen Netzwerk: Sie können einen lokalen Domaincontroller über VPN verwenden. Dies kann sich jedoch negativ auf die Authentifizierung von Endnutzern und die Leistung des Dateizugriffs auswirken. Fügen Sie Ihrem Netzwerkpfad keine zusätzlichen Virtual Private Cloud-Peering-Hops hinzu. Für das VPC-Peering gelten Einschränkungen für das transitive Routing. Der Traffic wird nicht über den VPC-Peering-Hop hinaus weitergeleitet, den NetApp Volumes bereits nutzt.

• Active Directory-Domänencontroller in einem anderen VPC-Netzwerk: Sie können den Domaincontroller nicht in einem anderen VPC platzieren, da das VPC-Peering vonGoogle Cloud kein transitives Routing zulässt. Alternativ können Sie die VPCs über VPN verbinden oder NetApp-Volumes an ein freigegebenes VPC-Netzwerk anhängen, das die Active Directory-Domaincontroller hostet. Wenn Sie NetApp-Volumes mit einem freigegebenen VPC-Netzwerk verknüpfen, entspricht dieses Szenario architektonisch einem der Szenarien in den vorherigen Abschnitten.

Nächste Schritte

Erstellen Sie eine Active Directory-Richtlinie.