Protokol berbagi file seperti SMB (CIFS), NFSv3 dengan grup yang diperluas, dan NFSv4, yang menggunakan akun keamanan, mengandalkan layanan direktori eksternal untuk menyediakan informasi identitas pengguna. NetApp Volumes mengandalkan Microsoft Active Directory untuk layanan direktori. Active Directory menyediakan layanan seperti server LDAP untuk mencari objek—seperti pengguna, grup, akun komputer—server DNS untuk me-resolve nama host, dan server Kerberos untuk autentikasi.
Untuk informasi selengkapnya, lihat Praktik terbaik untuk menjalankan Active Directory di Google Cloud.
Microsoft Active Directory Terkelola Google Cloud tidak didukung oleh Volume NetApp.
Kasus penggunaan
Volume NetApp menggunakan Active Directory untuk kasus-kasus di bagian berikut.
Layanan domain SMB
Active Directory adalah layanan domain pusat untuk SMB. SMB digunakan untuk autentikasi dan pencarian identitas untuk pengguna dan grup. NetApp Volumes bergabung ke domain sebagai anggota dan tidak mendukung SMB dalam mode grup kerja.
Dukungan grup yang diperluas NFSv3
Untuk NFSv3 dengan dukungan grup yang diperluas, Active Directory menyediakan server LDAP yang diperlukan untuk mencari objek seperti pengguna, grup, atau akun komputer. Secara khusus, server LDAP yang mematuhi RFC2307bis diperlukan untuk penelusuran ID pengguna dan ID grup. Dukungan LDAP diaktifkan di penyimpanan pool selama pembuatan pool.
Dukungan grup yang diperluas mengabaikan semua ID grup yang dikirim oleh klien NFS dalam panggilan NFS; sebagai gantinya, dukungan ini mengambil ID pengguna dari permintaan dan mencari semua ID grup untuk ID pengguna tertentu dari server LDAP untuk melakukan pemeriksaan izin file.
Untuk mengetahui informasi selengkapnya, lihat Mengelola atribut POSIX RFC2307bis LDAP.
Pemetaan akun keamanan NFSv4.x ke ID pengguna dan ID grup
Untuk NFSv4.x, Active Directory digunakan untuk memetakan akun keamanan ke ID pengguna dan
ID grup. NFSv4 menggunakan model autentikasi berbasis akun utama. Dalam autentikasi berbasis akun utama, pengguna diidentifikasi oleh akun utama keamanan yang menggunakan bentuk user@dns_domain (lihat https://www.rfc-editor.org/rfc/rfc7530.html#section-19), bukan diidentifikasi oleh ID pengguna dan ID grup. Untuk memetakan akun keamanan ke
ID pengguna dan ID grup saat mengakses volume menggunakan protokol NFSv4.x, Volume
NetApp memerlukan server LDAP yang mematuhi RFC2307bis. Satu-satunya server LDAP yang didukung
adalah Active Directory. Dukungan LDAP diaktifkan di penyimpanan pool selama pembuatan pool.
Untuk menggunakan akun keamanan, klien dan server NFS harus terhubung ke sumber LDAP yang sama dan file idmapd.conf harus dikonfigurasi di klien. Untuk informasi selengkapnya tentang cara mengonfigurasi file idmapd.conf, lihat Manpage Ubuntu: idmapd.conf - file konfigurasi untuk libnfsidmap.
Nama domain Active Directory digunakan untuk dns_domain. Pengguna adalah nama pengguna Active Directory. Gunakan nilai ini saat Anda menetapkan atribut POSIX LDAP.
Untuk menggunakan NFSv4.1 tanpa menyiapkan pemetaan ID dan hanya menggunakan ID pengguna dan ID grup yang mirip dengan NFSv3, Anda dapat menggunakan ID numerik untuk mengabaikan akun keamanan. Volume NetApp mendukung ID numerik, dan klien NFS saat ini menggunakan ID numerik secara default jika pemetaan ID tidak dikonfigurasi.
NFSv4.x dengan Kerberos
Jika Anda menggunakan Kerberos, Anda harus menggunakan Active Directory sebagai server LDAP untuk pencarian akun utama keamanan. Akun utama Kerberos digunakan sebagai ID keamanan. Active Directory juga digunakan sebagai Pusat Distribusi Kunci Kerberos (KDC). Agar ini berfungsi, Anda harus melampirkan kebijakan Active Directory yang berisi setelan Kerberos ke kumpulan dan mengaktifkan dukungan LDAP di kumpulan penyimpanan selama pembuatan kumpulan.
Untuk informasi selengkapnya, lihat Membuat kumpulan penyimpanan.
Akses LDAP Active Directory
Untuk kasus penggunaan NFS, Active Directory digunakan sebagai server LDAP. Volume NetApp mengharapkan data identitas menggunakan skema RFC2307bis. Active Directory sudah menyediakan skema ini, tetapi Anda harus memastikan untuk mengisi atribut yang diperlukan untuk pengguna dan grup Anda.
Volume NetApp menggunakan kredensial yang disediakan dari kebijakan Active Directory untuk mengikat ke LDAP menggunakan penandatanganan LDAP.
Jika pengguna atau grup tidak dapat ditemukan, akses akan ditolak.
Cache atribut
NetApp Volumes menyimpan hasil kueri LDAP dalam cache. Tabel berikut menjelaskan setelan time to live (TTL) untuk cache LDAP. Jika cache menyimpan data yang tidak valid karena kesalahan konfigurasi yang Anda coba perbaiki, Anda harus menunggu hingga cache dimuat ulang sebelum perubahan Anda di Active Directory terdeteksi. Jika tidak, server NFS akan terus menggunakan data lama untuk memverifikasi akses, yang kemungkinan akan menghasilkan pesan izin ditolak di klien. Setelah periode TTL, entri akan dihapus sehingga entri yang sudah tidak berlaku tidak akan tetap ada. Permintaan pencarian yang tidak ditemukan akan disimpan selama TTL satu menit untuk membantu menghindari masalah performa.
| Cache | Waktu tunggu default |
|---|---|
| Daftar keanggotaan grup | TTL 24 jam |
| Grup Unix (GID) | TTL 24 jam, TTL negatif 1 menit |
| Pengguna Unix (UID) | TTL 24 jam, TTL negatif 1 menit |
Topologi pengontrol domain Active Directory
Setelah berhasil terhubung ke pengontrol domain Active Directory, Anda dapat menggunakan protokol berbagi file berikut:
- SMB
- NFSv3 dengan grup yang diperluas
- NFSv4
Bagian berikut mengilustrasikan berbagai kemungkinan topologi. Diagram hanya menampilkan pengontrol domain yang digunakan oleh Volume NetApp. Pengontrol domain lain untuk domain yang sama hanya ditampilkan jika diperlukan.
Microsoft merekomendasikan untuk men-deploy minimal dua pengontrol domain (DC) untuk redundansi dan ketersediaan.
Pengontrol domain Active Directory di region yang sama dengan volume NetApp Volumes
Diagram berikut menunjukkan mode deployment paling sederhana, pengontrol domain di region yang sama dengan volume NetApp Volumes.
Pengontrol domain Active Directory di beberapa region menggunakan situs AD
Jika Anda menggunakan volume NetApp Volumes di beberapa region, sebaiknya tempatkan setidaknya satu pengontrol domain di setiap region. Meskipun layanan mencoba memilih DC terbaik untuk digunakan secara otomatis, sebaiknya kelola pemilihan DC menggunakan situs AD.
Pengontrol domain Active Directory di jaringan lokal
Penggunaan pengontrol domain lokal melalui VPN didukung, tetapi dapat memengaruhi autentikasi pengguna akhir dan performa akses file secara negatif. Pastikan untuk tidak menambahkan hop peering VPC tambahan di jalur jaringan Anda.
Pertimbangan untuk DC lokal
Koneksi ke DC on-premise menggunakan TCP dan IP. Koneksi ini sering gagal karena batasan berikut:
Peering VPC: Volume NetApp hanya dapat menjangkau DC yang berada di VPC kumpulan penyimpanan atau terhubung ke VPC tersebut melalui VPN. Volume NetApp tidak dapat menjangkau DC di VPC lain, termasuk yang di-peering ke VPC yang terhubung ke kumpulan penyimpanan.
Firewall: Anda harus mengizinkan NetApp Volumes untuk menghubungi DC Anda. Lihat Aturan firewall untuk akses Active Directory.
Pengontrol domain Active Directory di jaringan VPC yang berbeda
Anda tidak dapat menempatkan pengontrol domain di VPC lain karena peering VPC Google Cloud tidak mengizinkan perutean transitif. Atau, Anda dapat melampirkan Volume NetApp ke jaringan VPC bersama yang menghosting pengontrol domain Active Directory. Jika Anda memasang Volume NetApp ke jaringan VPC bersama, secara arsitektur, skenario ini menjadi salah satu skenario di bagian sebelumnya.
Mengelola pemilihan DC menggunakan situs AD
Untuk merepresentasikan lokasi pusat data, kantor, dan topologi jaringan yang sebenarnya sesecara mungkin, tempatkan pengontrol domain di region yang sama dengan volume Anda dan tentukan situs Active Directory untuk region tersebut.
Saat NetApp Volumes terhubung ke domain Anda, layanan ini menggunakan penemuan berbasis DNS untuk menemukan pengontrol domain yang tepat untuk berkomunikasi. Dengan menggunakan hasil penemuan, layanan ini mempertahankan daftar DC yang valid untuk dihubungkan dan menggunakan DC dengan latensi terendah.
Saat menentukan situs di setelan Active Directory Volume NetApp, Anda dapat membatasi daftar DC ke DC yang ditentukan di situs AD.
Jika pemilihan DC otomatis gagal, penggunaan situs AD dapat membantu memperbaiki masalah tersebut:
Deploy minimal satu pengontrol domain di region NetApp Volumes dan hubungkan ke Active Directory yang ada.
Buat situs Active Directory untuk region Google Cloud Anda dan tempatkan pengontrol domain yang sesuai ke situs tersebut.
Gunakan situs Active Directory saat menyiapkan koneksi Active Directory.
Untuk memverifikasi daftar DC potensial yang dapat digunakan layanan secara manual, lihat Cara mengidentifikasi pengontrol domain Active Directory yang digunakan oleh Volume NetApp
Untuk informasi selengkapnya, lihat Active Directory: Pertimbangan desain dan praktik terbaik.