Membuat instance Filestore dengan Microsoft AD Terkelola

Buat instance Filestore yang menggunakan protokol NFSv4.1 dengan Microsoft AD Terkelola.

Sebelum memulai

Sebelum membuat instance Filestore baru, pastikan Anda memiliki kuota yang cukup. Rentang kuota instance menurut lokasi region dan tingkat layanan yang ingin Anda gunakan. Untuk meningkatkan kuota yang tersedia, Anda harus mengirimkan permintaan penambahan kuota.

Membuat domain Microsoft AD Terkelola

Jika Anda ingin menggunakan Microsoft AD Terkelola dengan instance Filestore, domain Microsoft AD Terkelola harus dibuat sebelum instance Filestore.

  1. Domain Microsoft AD Terkelola dan instance Filestore harus menggunakan VPC yang sama saat berada di project yang sama.

    Jika layanan Microsoft AD Terkelola dihosting dalam project terpisah dari instance Filestore yang ingin Anda gunakan, jaringan VPC Filestore harus di-peering ke domain Microsoft AD Terkelola.

    Untuk mengetahui informasi selengkapnya, lihat Men-deploy Microsoft AD Terkelola dengan akses lintas project menggunakan peering domain.

  2. Selesaikan semua langkah penyiapan untuk membuat instance Filestore.

  3. Pastikan pengguna Microsoft AD Terkelola memiliki kolom POSIX RFC 2307 dan RFC 2307bis yang diisi, seperti berikut.

    Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi objek di Microsoft AD Terkelola, lihat Objek Active Directory Terkelola.

    Pengguna dan Komputer Active Directory

    Langkah-langkah berikut menjelaskan atribut yang perlu Anda tetapkan untuk pengguna dan grup LDAP. Anda dapat mengelola atribut POSIX menggunakan snap-in MMC Pengguna dan Komputer Active Directory.

    Buka Editor Atribut sebagai berikut:

    1. Klik Start.

    2. Klik Windows Administrative Tools, lalu pilih Active Directory Users and Computers.

      Jendela Active Directory Users and Computers akan terbuka.

    3. Pilih nama domain yang ingin Anda lihat. Untuk meluaskan kontennya, klik panah_rightexpander panah.

    4. Di menu View Pengguna dan Komputer Active Directory, pilih Advanced Features.

    5. Di panel kiri, klik dua kali Users.

    6. Di daftar pengguna, klik dua kali pengguna untuk melihat tab Attribute Editor.

      Pengguna LDAP harus memiliki atribut berikut yang ditetapkan:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Setiap pengguna harus memiliki uidNumber yang unik. Perhatikan bahwa nilai untuk atribut uid peka huruf besar/kecil. Untuk atribut objectClass, user adalah setelan default pada sebagian besar deployment Active Directory (AD). Berikut adalah contohnya:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Grup LDAP harus memiliki atribut berikut yang ditetapkan:

      • cn
      • gidNumber
      • objectClass

      Setiap grup harus memiliki gidNumber yang unik. Perhatikan bahwa nilai untuk atribut cn peka huruf besar/kecil. Untuk atribut objectClass, group adalah setelan default pada sebagian besar deployment AD. Berikut adalah contohnya:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Berikan akses Filestore untuk membuat dan mengelola objek di Microsoft AD Terkelola menggunakan gcloud projects add-iam-policy-binding perintah:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Ganti kode berikut:

    • MANAGED_MICROSOFT_AD_PROJECT_ID adalah ID project untuk project tempat domain Microsoft AD Terkelola berada.
    • PROJECT_ID adalah ID project untuk project tempat instance Filestore berada.

    Anda mungkin melihat error, seperti berikut:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Jika demikian, gunakan perintah berikut untuk mengatasinya:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Membuat instance Filestore dengan Microsoft AD Terkelola

Google Cloud Konsol

Menyiapkan parameter instance

  1. Di Google Cloud konsol, buka halaman instance Filestore.

    Buka halaman instance Filestore

  2. Klik Create Instance.

  3. Tentukan parameter dasar instance:

    1. Di kolom Instance ID, masukkan nama yang ingin Anda gunakan untuk instance Filestore.

    2. Di Instance Type, pilih Regional atau Zonal.

      Untuk membuat instance perusahaan, Anda harus menjalankan operasi langsung melalui Filestore API.

    3. Di Allocated Capacity, masukkan kapasitas yang ingin Anda gunakan. Anda harus memasukkan nilai antara 1 TB dan 10 TB, dengan kelipatan 256 GiB (0,25 TiB).

    4. Di Region, pilih region yang ingin Anda gunakan.

    5. Di VPC Network, pilih jaringan yang ingin Anda gunakan untuk instance Filestore dan klien NFS.

      • Jika Microsoft AD Terkelola berada di project yang sama dengan instance Filestore, jaringan VPC harus diotorisasi di domain Microsoft AD Terkelola.
      • Jika Microsoft AD Terkelola berada di project terpisah, jaringan VPC harus dikonfigurasi dengan peering jaringan Active Directory pada konfigurasi Microsoft AD Terkelola.

    6. Di Allocated IP range, pilih Use an automatically allocated IP range (recommended).

    7. Di Protocol, pilih NFSv4.1.

Mengonfigurasi setelan autentikasi instance

  1. Konfigurasikan setelan autentikasi instance.
    1. Klik Authentication.
    2. Pilih project yang menghosting Microsoft AD Terkelola. Untuk tujuan panduan ini, kita akan menganggap project saat ini adalah project yang ingin kita gunakan. Di daftar Join an Active Directory domain, pilih domain Microsoft AD Terkelola yang ingin Anda gunakan.
    3. Di kolom Computer account name, masukkan nama akun komputer yang ingin Anda gunakan untuk mengidentifikasi instance Filestore di domain Microsoft AD Terkelola. Nama dibatasi hingga 15 karakter alfanumerik.
    4. Di kolom File share name, masukkan nama share seperti yang akan digunakan oleh klien NFSv4.1.

  2. Di panel Access Control, selesaikan salah satu langkah berikut:

    • Jika menggunakan Microsoft AD Terkelola, pilih Restrict access by IP address or range.

      1. Tetapkan aturan akses berdasarkan IP atau subnet yang ingin Anda tentukan. Untuk tujuan panduan ini, gunakan setelan berikut:
      2. Di kolom IP address or range 1, masukkan alamat IP atau rentang yang ingin Anda gunakan.
      3. Klik menu drop-down Access 1, lalu pilih Admin. Klik menu drop-down Mountsec= 1, lalu centang kotak sys.

      Pemilik default / Filestore adalah root. Untuk mengaktifkan akses ke instance bagi pengguna dan grup lain, Anda harus membuat aturan akses yang mengaktifkan akses VM pengelolaan menggunakan peran Admin dan setelan keamanan sec=sys.

    • Jika Anda tidak menggunakan Microsoft AD Terkelola, pilih Grant access to all clients on the VPC network.

      Jika Microsoft AD Terkelola tidak digunakan, satu-satunya setelan keamanan yang didukung adalah sec=sys.

  3. Klik Create untuk membuat instance.

gcloud

  1. Instal dan lakukan inisialisasi gcloud CLI.

    Jika Anda sudah menginstal gcloud CLI, jalankan perintah berikut untuk mengupdatenya:

    gcloud components update

  2. Jalankan gcloud beta filestore instances create perintah untuk membuat instance Filestore zona, regional, atau perusahaan:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Dengan:

    • INSTANCE_ID adalah ID instance untuk instance Filestore yang ingin Anda buat. Lihat Memberi nama instance.
    • DESCRIPTION adalah deskripsi untuk instance yang ingin Anda gunakan.
    • LOCATION adalah lokasi tempat Anda ingin instance Filestore berada.
    • TIER adalah tingkat layanan yang ingin Anda gunakan.
    • PROTOCOL adalah NFS_v4_1.
    • FILE_SHARE_NAME adalah nama yang Anda tentukan untuk berbagi file NFS yang ditayangkan dari instance.
    • CAPACITY adalah ukuran yang Anda inginkan untuk berbagi file, antara 1 TiB hingga 10 TiB.

    • VPC_NETWORK adalah nama jaringan VPC yang ingin Anda gunakan untuk instance. Lihat Memilih jaringan VPC.

      • Jika ingin menentukan VPC Bersama dari project layanan, Anda harus menentukan nama jaringan yang memenuhi syarat sepenuhnya, yang memiliki format berikut:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Tentukan connect-mode=PRIVATE_SERVICE_ACCESS, seperti berikut:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID adalah ID project tempat layanan Microsoft AD Terkelola berada.

    • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan. Anda memilih nama domain ini saat membuat domain Microsoft AD Terkelola.

    • DOMAIN_COMPUTER_ACCOUNT adalah nama apa pun yang Anda inginkan untuk cluster di domain.

    • CONSUMER_PROJECT_ID adalah ID project untuk project yang berisi instance Filestore.

    • CONNECT_MODE adalah DIRECT_PEERING atau PRIVATE_SERVICE_ACCESS. Jika Anda menentukan VPC Bersama sebagai jaringan, Anda juga harus menentukan PRIVATE_SERVICE_ACCESS sebagai mode koneksi. Flag ini diperlukan untuk Peering Jaringan VPC, yang merupakan persyaratan saat menggunakan Microsoft AD Terkelola.

    • RESERVED_IP_RANGE adalah rentang alamat IP untuk instance Filestore. Jika Anda menentukan connect-mode=PRIVATE_SERVICE_ACCESS, dan ingin menggunakan rentang alamat IP yang dicadangkan, Anda harus menentukan nama rentang alamat yang dialokasikan bukan rentang CIDR. Lihat Mengonfigurasi alamat IP yang dicadangkan. Sebaiknya lewati flag ini agar Filestore dapat menemukan rentang alamat IP gratis secara otomatis dan menetapkannya ke instance.

Memutuskan koneksi Microsoft AD Terkelola dari instance Filestore

Google Cloud Konsol

  1. Putuskan koneksi instance Filestore yang terhubung ke Microsoft AD Terkelola.

    Di Google Cloud konsol, buka halaman Instance Filestore.

    Buka halaman instance Filestore

  2. Klik ID instance yang ingin Anda edit.

  3. Di panel NFS mount point, di bagian Protocol, di samping Directory service name, klik Disconnect AD domain.

  4. Di jendela Disconnect from domain failed , baca peringatan, lalu klik Edit instance.

    Setidaknya satu aturan di Access control harus dipetakan ke peran Administrator dengan setelan keamanan pemasangan sys, seperti Access=Admin Mount dan sec=sys.

  5. Di panel Edit share, temukan aturan tempat Access ditetapkan ke Admin. Klik Mount sec= ..., lalu pilih sys untuk menambahkan opsi tersebut ke setelan yang ada.

  6. Klik OK.

  7. Klik Save.

  8. Di samping Directory service name, klik Disconnect AD domain.

  9. Di kolom di jendela Disconnect from domain?, masukkan nama domain yang koneksinya ingin Anda putuskan.

  10. Klik Disconnect.

Mengedit aturan akses

  1. Muat ulang halaman. Perhatikan bahwa Directory service name kini ditetapkan ke None.

  2. Klik Edit.

  3. Di panel Edit share, temukan aturan yang menetapkan akses untuk peran selain Admin, seperti Editor. Dalam aturan, klik Mount sec= ..., lalu pilih sys untuk menambahkannya ke setelan yang ada. Klik OK.

  4. Klik Save.

  5. Muat ulang halaman.

    Setelan aturan diperbarui.

Menghubungkan kembali Microsoft AD Terkelola ke instance Filestore

Google Cloud Konsol

  1. Hubungkan kembali instance Filestore ke Microsoft AD Terkelola.

    Di panel NFS mount point, di bagian Protocol, di samping Directory service name, klik Join AD domain.

  2. Di jendela Join this instance to an Active Directory Domain, pilih Use domains from the current project, di Join an Active Directory Domain menu, pilih domain yang ingin Anda gunakan.

  3. Di menu Computer account name, masukkan nama.

  4. Klik Join Domain.

  5. Muat ulang halaman. Perhatikan bahwa Directory service name telah diperbarui dengan pilihan Anda.

  6. Klik Edit.

  7. Di panel Edit share, klik Mount sec= ... di semua aturan yang berlaku dan hapus sys pilihan. Klik OK.

  8. Klik Save.

  9. Muat ulang halaman.

Setelan aturan diperbarui.