Halaman ini diterjemahkan oleh Cloud Translation API.

Integrasi Active Directory Google Cloud NetApp Volumes

Halaman ini menjelaskan integrasi Active Directory Google Cloud NetApp Volumes.

Tentang integrasi

Kebijakan Active Directory memberi tahu Volume NetApp cara terhubung ke Active Directory. Konfigurasi kumpulan penyimpanan menggunakan kebijakan Active Directory untuk menentukan setelan Active Directory volume yang Anda buat di dalamnya.

Kebijakan Active Directory bersifat khusus per wilayah dan Anda dapat mengonfigurasi hingga lima kebijakan per wilayah.

Protokol berbagi file—seperti SMB (CIFS), NFSv3 dengan grup yang diperluas, dan NFSv4—yang menggunakan akun keamanan, mengandalkan layanan direktori eksternal untuk memberikan informasi identitas pengguna. NetApp Volumes mengandalkan Active Directory untuk layanan direktori. Active Directory menyediakan layanan berikut:

Server LDAP: mencari objek seperti pengguna, grup, atau mesin
Server DNS: me-resolve nama host dan penemuan pengontrol domain Active Directory
Server Kerberos: melakukan autentikasi

Untuk informasi selengkapnya, lihat Praktik terbaik untuk menjalankan Active Directory di Google Cloud.

Kasus penggunaan untuk Active Directory

NetApp Volumes menggunakan Active Directory untuk beberapa kasus penggunaan:

Layanan domain SMB: Active Directory adalah layanan domain pusat untuk SMB. Fitur ini menggunakan SMB untuk autentikasi dan pencarian identitas bagi pengguna dan grup. NetApp Volumes bergabung ke domain sebagai anggota, tetapi tidak mendukung SMB dalam mode grup kerja.
Dukungan grup yang diperluas NFSv3: untuk NFSv3 dengan dukungan grup yang diperluas, Active Directory menyediakan server LDAP yang diperlukan untuk mencari objek seperti pengguna, grup, atau akun mesin. Secara khusus, pencarian ID pengguna dan ID grup memerlukan server LDAP yang mematuhi RFC2307bis. Dukungan LDAP diaktifkan di penyimpanan pool selama pembuatan pool.

Dukungan grup yang diperluas mengabaikan semua ID grup yang dikirim oleh klien NFS dalam panggilan NFS. Sebagai gantinya, sistem akan mengambil ID pengguna dari permintaan dan mencari semua ID grup untuk ID pengguna yang diberikan dari server LDAP untuk melakukan pemeriksaan izin file.

Untuk mengetahui informasi selengkapnya, lihat Mengelola atribut POSIX RFC2307bis LDAP.
Pemetaan akun keamanan NFSv4.x ke ID pengguna dan ID grup: untuk NFSv4.x, NetApp Volumes menggunakan Active Directory untuk memetakan akun keamanan ke ID pengguna dan ID grup. NFSv4 menggunakan model autentikasi berbasis akun utama. Dalam autentikasi berbasis akun utama, akun utama keamanan mengidentifikasi pengguna yang menggunakan formulir user@dns_domain (lihat pertimbangan keamanan RFC 7530), bukan ID pengguna dan ID grup. Untuk memetakan akun keamanan ke ID pengguna dan ID grup saat Anda mengakses volume dengan protokol NFSv4.x, NetApp Volumes memerlukan server LDAP yang mematuhi RFC2307bis. NetApp Volumes hanya mendukung server LDAP Active Directory. Dukungan LDAP diaktifkan di penyimpanan pool selama pembuatan pool.

Untuk menggunakan akun keamanan, klien dan server NFS harus terhubung ke sumber LDAP yang sama dan Anda harus mengonfigurasi file idmapd.conf di klien. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi file idmapd.conf, lihat dokumentasi Ubuntu tentang cara mengonfigurasi file idmapd.conf untuk libnfsidmap.

dns_domain menggunakan nama domain Active Directory dan user mengidentifikasi sebagai nama pengguna Active Directory. Gunakan nilai ini saat Anda menetapkan atribut POSIX LDAP.

Untuk menggunakan NFSv4.1 tanpa pemetaan ID dan hanya menggunakan ID pengguna dan ID grup yang mirip dengan NFSv3, gunakan ID numerik untuk mengabaikan akun keamanan. NetApp Volumes mendukung ID numerik. Klien NFS saat ini menggunakan ID numerik secara default jika pemetaan ID tidak dikonfigurasi.
NFSv4.x dengan Kerberos: jika Anda menggunakan Kerberos, Anda harus menggunakan Active Directory sebagai server LDAP untuk pencarian akun utama keamanan. Akun utama Kerberos digunakan sebagai ID keamanan. Key Distribution Center Kerberos menggunakan Active Directory. Agar hal ini berfungsi, Anda harus melampirkan kebijakan Active Directory yang berisi setelan Kerberos ke kumpulan dan mengaktifkan dukungan LDAP di kumpulan penyimpanan saat membuat kumpulan.

Izin yang diperlukan untuk membuat akun komputer Active Directory

Anda dapat menambahkan objek mesin NetApp Volumes ke Active Directory Windows dengan akun yang memiliki izin untuk bergabung dengan komputer ke domain. Grup ini biasanya adalah grup Domain Admins, tetapi Active Directory memiliki kemampuan untuk mendelegasikan izin yang diperlukan ke setiap pengguna atau grup di tingkat domain atau unit organisasi penuh.

Anda dapat memberikan izin ini dengan Wizard Delegasi Kontrol di Active Directory dengan membuat tugas kustom yang memungkinkan Anda membuat dan menghapus objek komputer dengan izin akses berikut:

Baca dan tulis
Membuat dan menghapus semua objek turunan
Membaca dan menulis semua properti
Mengubah dan mereset sandi ("Baca dan tulis sandi domain & kebijakan penguncian")

Mendelegasikan pengguna akan menambahkan daftar kontrol akses keamanan untuk pengguna yang ditentukan ke unit organisasi di Active Directory dan meminimalkan akses ke lingkungan Active Directory. Setelah pengguna didelegasikan, Anda dapat memberikan nama pengguna dan sandi sebagai kredensial kebijakan Active Directory.

Untuk keamanan tambahan, selama pembuatan dan kueri objek akun mesin, nama pengguna dan sandi yang diteruskan ke domain Active Directory menggunakan enkripsi Kerberos.

Pengontrol domain Active Directory

Untuk menghubungkan Volume NetApp ke domain Anda, layanan ini menggunakan penemuan berbasis DNS untuk mengidentifikasi daftar pengontrol domain yang tersedia untuk digunakan.

Layanan ini menjalankan langkah-langkah berikut untuk menemukan pengontrol domain yang akan digunakan:

Penemuan Situs Active Directory: NetApp Volumes menggunakan ping LDAP ke IP server DNS yang ditentukan dalam kebijakan Active Directory untuk mengambil informasi subnet Situs Active Directory. Fungsi ini menampilkan daftar CIDR dan Situs Active Directory yang ditetapkan ke CIDR tersebut.

Catatan: Anda dapat menggunakan perintah berikut untuk mengambil daftar ini secara manual di sistem Windows yang tergabung ke domain:

Get-ADReplicationSubnet -Filter * | Select-Object Name,Site
Menentukan nama situs: jika alamat IP volume cocok dengan salah satu subnet yang ditentukan, nama situs terkait akan digunakan. Kecocokan subnet yang lebih kecil lebih diutamakan daripada kecocokan subnet yang lebih besar. Jika alamat IP volume tidak diketahui, buat volume sementara secara manual dengan jenis protokol NFS untuk menentukan CIDR /28 yang digunakan.

Jika tidak ada nama situs yang ditentukan di Active Directory, nama situs yang dikonfigurasi dalam kebijakan Active Directory akan digunakan. Jika tidak ada nama situs yang dikonfigurasi, tingkat layanan Standar, Premium, dan Extreme akan menggunakan situs Default-First-Site-Name. Jika tingkat layanan Flex mencoba menggunakan situs Default-First-Site-Name, tingkat layanan Flex akan gagal dan sebagai gantinya menggunakan penemuan pengontrol domain lengkap. Perhatikan bahwa perubahan pada parameter situs Active Directory diabaikan oleh kumpulan penyimpanan tingkat layanan Flex.
Penemuan pengontrol domain: dengan semua informasi yang diperlukan diperoleh, layanan mengidentifikasi calon pengontrol domain menggunakan kueri DNS berikut:

nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

Untuk penemuan domain lengkap, layanan menggunakan kueri DNS berikut:

nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>
Pembuatan daftar pengontrol domain: daftar pengontrol domain dibuat. NetApp Volumes terus memantau ketersediaannya. Dari beberapa pengontrol domain yang tersedia, pengontrol domain ini akan memilih satu untuk gabungan dan pencarian domain. Jika pengontrol domain yang dipilih hilang, pengontrol domain lain dari daftar Tersedia akan otomatis digunakan. Perhatikan bahwa pengontrol domain yang Anda pilih tidak harus server DNS yang ditentukan.

Anda harus menyediakan minimal satu pengontrol domain yang dapat diakses untuk digunakan layanan. Sebaiknya gunakan beberapa pengontrol domain untuk meningkatkan ketersediaan pengontrol domain. Pastikan ada jalur jaringan yang dirutekan antara NetApp Volumes dan pengontrol domain, serta aturan firewall di pengontrol domain Anda mengizinkan NetApp Volumes terhubung.

Untuk informasi selengkapnya, lihat Pertimbangan dan praktik terbaik desain Active Directory.

Topologi pengontrol domain Active Directory

Setelah berhasil terhubung ke pengontrol domain Active Directory, Anda dapat menggunakan protokol berbagi file berikut:

SMB
NFSv3 dengan grup yang diperluas
NFSv4 dengan akun utama keamanan dan Kerberos

Skenario berikut menjelaskan potensi topologi. Skenario ini hanya menjelaskan pengontrol domain yang digunakan oleh NetApp Volumes. Pengontrol domain lain untuk domain yang sama hanya dijelaskan jika diperlukan. Sebaiknya deploy minimal dua pengontrol domain untuk redundansi dan ketersediaan.

Pengontrol domain Active Directory dan volume di satu region: skenario ini adalah strategi deployment paling sederhana dengan pengontrol domain berada di region yang sama dengan volume.
Pengontrol domain Active Directory dan volume di region terpisah: Anda dapat menggunakan pengontrol domain di region yang berbeda dari volume. Hal ini dapat memengaruhi performa autentikasi dan akses file secara negatif.
Pengontrol domain Active Directory di beberapa region menggunakan situs AD: jika Anda menggunakan volume di beberapa region, sebaiknya tempatkan setidaknya satu pengontrol domain di setiap region. Meskipun layanan mencoba memilih pengontrol domain terbaik untuk digunakan secara otomatis, sebaiknya Anda mengelola pemilihan pengontrol domain dengan situs Active Directory.
Pengontrol domain Active Directory di jaringan lokal: Anda dapat menggunakan pengontrol domain lokal melalui VPN, tetapi hal ini dapat memengaruhi autentikasi pengguna akhir dan performa akses file secara negatif. Pastikan untuk tidak menambahkan hop peering Virtual Private Cloud tambahan di jalur jaringan Anda. Peering VPC tunduk pada batasan pemilihan rute transitif. Traffic tidak dirutekan di luar hop peering VPC yang sudah digunakan NetApp Volumes.
Pengontrol domain Active Directory di jaringan VPC yang berbeda: Anda tidak dapat menempatkan pengontrol domain di VPC yang berbeda karena peering VPCGoogle Cloud tidak mengizinkan perutean transitif. Atau, Anda dapat menghubungkan VPC menggunakan VPN atau melampirkan Volume NetApp ke jaringan VPC bersama yang menghosting pengontrol domain Active Directory. Jika Anda melampirkan Volume NetApp ke jaringan VPC bersama, secara arsitektur, skenario ini menjadi sama dengan salah satu skenario di bagian sebelumnya.

Langkah selanjutnya

Membuat kebijakan Active Directory.