SMB (CIFS), 확장 그룹이 있는 NFSv3, 보안 프린시펄을 사용하는 NFSv4와 같은 파일 공유 프로토콜은 외부 디렉터리 서비스를 사용하여 사용자 ID 정보를 제공합니다. NetApp Volumes는 디렉터리 서비스에 Microsoft Active Directory를 사용합니다. Active Directory는 사용자, 그룹, 머신 계정과 같은 객체를 조회하기 위한 LDAP 서버, 호스트 이름을 확인하기 위한 DNS 서버, 인증을 위한 Kerberos 서버와 같은 서비스를 제공합니다.
자세한 내용은 Google Cloud에서 Active Directory를 실행하기 위한 권장사항을 참고하세요.
Google Cloud의 관리형 Microsoft Active Directory는 NetApp 볼륨에서 지원되지 않습니다.
사용 사례
NetApp Volumes는 다음 섹션의 케이스에 Active Directory를 사용합니다.
SMB 도메인 서비스
Active Directory는 SMB의 중앙 도메인 서비스입니다. SMB는 사용자 및 그룹의 인증 및 ID 조회에 사용됩니다. NetApp Volumes는 도메인에 구성원으로 참여하며 워크그룹 모드에서는 SMB를 지원하지 않습니다.
NFSv3 확장 그룹 지원
확장 그룹 지원이 있는 NFSv3의 경우 Active Directory는 사용자, 그룹, 머신 계정과 같은 객체를 조회하는 데 필요한 LDAP 서버를 제공합니다. 특히 사용자 ID 및 그룹 ID 조회에는 RFC2307bis를 준수하는 LDAP 서버가 필요합니다. LDAP 지원은 풀 생성 중에 스토리지 풀에서 사용 설정됩니다.
확장 그룹 지원은 NFS 호출에서 NFS 클라이언트가 전송한 모든 그룹 ID를 무시합니다. 대신 요청의 사용자 ID를 가져와 LDAP 서버에서 지정된 사용자 ID의 모든 그룹 ID를 조회하여 파일 권한을 확인합니다.
자세한 내용은 LDAP RFC2307bis POSIX 속성 관리를 참고하세요.
NFSv4.x 보안 주체와 사용자 ID 및 그룹 ID 매핑
NFSv4.x의 경우 Active Directory는 보안 주체를 사용자 ID 및 그룹 ID에 매핑하는 데 사용됩니다. NFSv4는 사용자 기반 인증 모델을 사용합니다. 주 구성원 기반 인증에서는 사용자 ID 및 그룹 ID로 식별되는 대신 user@dns_domain 형식 (https://www.rfc-editor.org/rfc/rfc7530.html#section-19 참고)의 보안 주체로 사용자를 식별합니다. NFSv4.x 프로토콜을 사용하여 볼륨에 액세스할 때 보안 사용자를 사용자 ID 및 그룹 ID에 매핑하려면 NetApp Volumes에 RFC2307bis 준수 LDAP 서버가 필요합니다. 지원되는 유일한 LDAP 서버는 Active Directory입니다. LDAP 지원은 풀 생성 중에 스토리지 풀에서 사용 설정됩니다.
보안 사용자 주체를 사용하려면 NFS 클라이언트와 서버가 동일한 LDAP 소스에 연결되어야 하며 클라이언트에서 idmapd.conf 파일이 구성되어야 합니다. idmapd.conf 파일 구성에 관한 자세한 내용은 Ubuntu Manpage: idmapd.conf - libnfsidmap의 구성 파일을 참고하세요.
Active Directory 도메인 이름은 dns_domain에 사용됩니다. user는 Active Directory 사용자의 이름입니다. LDAP POSIX 속성을 설정할 때 이 값을 사용하세요.
ID 매핑을 설정하지 않고 NFSv4.1을 사용하고 NFSv3와 마찬가지로 사용자 ID 및 그룹 ID만 사용하려면 숫자 ID를 사용하여 보안 사용자를 무시할 수 있습니다. NetApp Volumes는 숫자 ID를 지원하며 ID 매핑이 구성되지 않은 경우 현재 NFS 클라이언트는 기본적으로 숫자 ID를 사용합니다.
Kerberos를 사용하는 NFSv4.x
Kerberos를 사용하는 경우 보안 주 구성원 조회를 위해 Active Directory를 LDAP 서버로 사용해야 합니다. Kerberos 주 구성원은 보안 식별자로 사용됩니다. Active Directory는 Kerberos 키 배포 센터 (KDC)로도 사용됩니다. 이렇게 하려면 Kerberos 설정이 포함된 Active Directory 정책을 풀에 연결하고 풀을 만드는 동안 스토리지 풀에서 LDAP 지원을 사용 설정해야 합니다.
자세한 내용은 스토리지 풀 만들기를 참고하세요.
Active Directory LDAP 액세스
NFS 사용 사례의 경우 Active Directory가 LDAP 서버로 사용됩니다. NetApp Volumes는 RFC2307bis 스키마를 사용하는 ID 데이터를 예상합니다. Active Directory에서 이미 이 스키마를 제공하지만 사용자와 그룹에 필요한 속성을 채워야 합니다.
NetApp 볼륨은 Active Directory 정책에서 제공된 사용자 인증 정보를 사용하여 LDAP 서명을 통해 LDAP에 바인딩합니다.
사용자 또는 그룹을 찾을 수 없는 경우 액세스가 거부됩니다.
속성 캐싱
NetApp Volumes는 LDAP 쿼리의 결과를 캐시합니다. 다음 표에서는 LDAP 캐시의 TTL (수명) 설정을 설명합니다. 수정하려는 구성 오류로 인해 캐시에 잘못된 데이터가 있는 경우 캐시가 새로고침될 때까지 기다려야 Active Directory의 변경사항이 감지됩니다. 그러지 않으면 NFS 서버가 이전 데이터를 계속 사용하여 액세스를 확인하기 때문에 클라이언트에서 권한이 거부되었다는 메시지가 표시될 수 있습니다. TTL 기간이 지나면 항목이 만료되어 오래된 항목이 남아 있지 않습니다. 찾을 수 없는 조회 요청은 성능 문제를 방지하기 위해 1분 TTL 동안 유지됩니다.
| 캐시 | 기본 제한 시간 |
|---|---|
| 그룹 멤버십 목록 | 24시간 TTL |
| Unix 그룹 (GID) | 24시간 TTL, 1분 음성 TTL |
| Unix 사용자 (UID) | 24시간 TTL, 1분 음성 TTL |
Active Directory 도메인 컨트롤러 토폴로지
Active Directory 도메인 컨트롤러에 연결하면 다음과 같은 파일 공유 프로토콜을 사용할 수 있습니다.
- SMB
- 확장된 그룹이 있는 NFSv3
- NFSv4
다음 섹션에서는 다양한 가능한 토폴로지를 보여줍니다. 다이어그램에는 NetApp Volumes에서 사용하는 도메인 컨트롤러만 표시됩니다. 동일한 도메인의 다른 도메인 컨트롤러는 필요한 경우에만 표시됩니다.
Microsoft는 중복성과 가용성을 위해 도메인 컨트롤러 (DC)를 2개 이상 배포하는 것이 좋습니다.
NetApp Volumes 볼륨과 동일한 리전에 있는 Active Directory 도메인 컨트롤러
다음 다이어그램은 가장 간단한 배포 모드인 NetApp 볼륨 볼륨과 동일한 리전에 있는 도메인 컨트롤러를 보여줍니다.
AD 사이트를 사용하는 여러 리전의 Active Directory 도메인 컨트롤러
여러 리전에서 NetApp Volumes 볼륨을 사용하는 경우 각 리전에 도메인 컨트롤러를 하나 이상 배치하는 것이 좋습니다. 서비스는 자동으로 사용할 가장 적합한 DC를 선택하려고 하지만 AD 사이트를 사용하여 DC 선택을 관리하는 것이 좋습니다.
온프레미스 네트워크의 Active Directory 도메인 컨트롤러
VPN을 통해 온프레미스 도메인 컨트롤러를 사용하는 것은 지원되지만 최종 사용자 인증 및 파일 액세스 성능에 부정적인 영향을 미칠 수 있습니다. 네트워크 경로에 VPC 피어링 홉을 추가하지 마세요.
온프레미스 DC 고려사항
온프레미스 DC에 대한 연결은 TCP 및 IP를 사용합니다. 이러한 연결은 다음과 같은 제한사항으로 인해 실패하는 경우가 많습니다.
VPC 피어링: NetApp 볼륨은 스토리지 풀의 VPC에 있거나 VPN으로 VPC에 연결된 DC에만 도달할 수 있습니다. NetApp 볼륨은 스토리지 풀에 연결된 VPC에 피어링된 VPC를 포함하여 다른 VPC의 DC에 도달할 수 없습니다.
방화벽: NetApp 볼륨이 DC에 연결할 수 있도록 허용해야 합니다. Active Directory 액세스를 위한 방화벽 규칙을 참고하세요.
다른 VPC 네트워크의 Active Directory 도메인 컨트롤러
Google Cloud VPC 피어링은 전이 라우팅을 허용하지 않으므로 도메인 컨트롤러를 다른 VPC에 배치할 수 없습니다. 또는 NetApp 볼륨을 Active Directory 도메인 컨트롤러를 호스팅하는 공유 VPC 네트워크에 연결할 수 있습니다. NetApp 볼륨을 공유 VPC 네트워크에 연결하면 아키텍처 측면에서 이 시나리오는 이전 섹션의 시나리오 중 하나가 됩니다.
AD 사이트를 사용하여 DC 선택 관리
실제 데이터 센터 위치, 사무실, 네트워크 토폴로지를 최대한 정확하게 나타내려면 도메인 컨트롤러를 볼륨과 동일한 리전에 배치하고 해당 리전의 Active Directory 사이트를 정의합니다.
NetApp Volumes가 도메인에 연결되면 서비스는 DNS 기반 검색을 사용하여 통신할 적절한 도메인 컨트롤러를 찾습니다. 서비스는 검색 결과를 사용하여 연결할 유효한 DC 목록을 유지하고 지연 시간이 가장 짧은 DC를 사용합니다.
NetApp 볼륨의 Active Directory 설정에서 사이트를 지정하면 DC 목록을 AD 사이트에 지정된 DC로 제한할 수 있습니다.
자동 DC 선택에 실패하면 AD 사이트를 사용하여 문제를 해결할 수 있습니다.
NetApp 볼륨 리전에 도메인 컨트롤러를 하나 이상 배포하고 기존 Active Directory에 연결합니다.
Google Cloud 리전의 Active Directory 사이트를 만들고 적절한 도메인 컨트롤러를 해당 사이트에 배치합니다.
Active Directory 연결을 설정할 때 Active Directory 사이트를 사용합니다.
서비스에서 사용할 수 있는 잠재적 DC 목록을 수동으로 확인하려면 NetApp 볼륨에서 사용하는 Active Directory 도메인 컨트롤러를 식별하는 방법을 참고하세요.
자세한 내용은 Active Directory: 설계 고려사항 및 권장사항을 참고하세요.