Managed Microsoft AD で NFSv4.1 プロトコルを使用する Filestore インスタンスを作成します。
始める前に
新しい Filestore インスタンスを作成する前に、十分な割り当てがあることを確認してください。 インスタンスの割り当て範囲は、使用するリージョン ロケーションとサービス階層によって異なります。 利用可能な割り当てを増やすには、割り当て増加リクエストを送信する必要があります。
Managed Microsoft AD ドメインを作成する
Filestore インスタンスで Managed Microsoft AD を使用する場合は、Filestore インスタンスの前に Managed Microsoft AD ドメインを作成する必要があります。
Managed Microsoft AD ドメインと Filestore インスタンスは、同じプロジェクト内にある場合、同じ VPC を使用する必要があります。
Managed Microsoft AD サービスが、使用する Filestore インスタンスとは別のプロジェクトでホストされている場合、Filestore VPC ネットワークは、Managed Microsoft AD ドメインにピアリングする必要があります。
詳細については、ドメイン ピアリングを使用してプロジェクト間のアクセスで Managed Microsoft AD をデプロイするをご覧ください。
Managed Microsoft AD ユーザーが、次のように POSIX RFC 2307 フィールドと RFC 2307bis フィールドに入力されていることを確認します。
Managed Microsoft AD でオブジェクトを構成する方法の詳細については、Managed Active Directory オブジェクトをご覧ください。
Active Directory ユーザーとコンピュータ
以下の手順では、LDAP のユーザーとグループに設定する必要がある属性について説明します。MMC のスナップインの [Active Directory ユーザーとコンピュータ] を使用して、POSIX 属性を管理できます。
次の手順で [属性エディタ] を開きます。
- [開始] をクリックします。
[Windows 管理ツール] をクリックし、[Active Directory ユーザーとコンピュータ] を選択します。
[Active Directory ユーザーとコンピュータ] ウィンドウが開きます。
表示するドメイン名を選択します。コンテンツを開くには、 展開矢印をクリックします。
[Active Directory ユーザーとコンピュータ] の [表示] メニューで、[高度な機能] を選択します。
左側のペインで [ユーザー] をダブルクリックします。
ユーザー リストで、ユーザーをダブルクリックして [属性エディタ] タブを表示します。
LDAP ユーザーには、次の属性を設定する必要があります。
uiduidNumbercngidNumberobjectClass
各ユーザーに固有の
uidNumberが必要です。uid属性の値では、大文字と小文字が区別されることに注意してください。objectClass属性の場合、ほとんどの Active Directory(AD)デプロイではuserがデフォルト設定です。次に例を示します。uid: Alice uidNumber: 139 gidNumber: 555 objectClass: userLDAP グループには、次の属性を設定する必要があります。
cngidNumberobjectClass
各グループに固有の
gidNumberが必要です。cn属性の値では、大文字と小文字が区別されることに注意してください。objectClass属性の場合、ほとんどの AD デプロイではgroupがデフォルト設定です。次に例を示します。cn: AliceGroup gidNumber: 555 objectClass: group
gcloud projects add-iam-policy-bindingコマンドを使用して、Managed Microsoft AD でオブジェクトを作成、管理するアクセス権を Filestore に付与します。gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \ --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \ --format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \ --role=roles/managedidentities.filestoreintegrator以下を置き換えます。
- MANAGED_MICROSOFT_AD_PROJECT_ID は、Managed Microsoft AD ドメインが配置されているプロジェクトのプロジェクト ID です。
- PROJECT_ID は、 Filestore インスタンスが配置されているプロジェクトのプロジェクト ID です。
次のようなエラーが表示される場合があります。
INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.その場合は、次のコマンドを使用して解決します。
gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID
Managed Microsoft AD を使用して Filestore インスタンスを作成する
Google Cloud コンソール
インスタンス パラメータを設定する
コンソールで、Filestore インスタンス ページに移動します。 Google Cloud
[インスタンスを作成] をクリックします。
インスタンスの基本パラメータを指定します。
- [インスタンス ID] フィールドに、Filestore インスタンスに使用する名前を入力します。
[インスタンス タイプ] で、[リージョン] または [ゾーン] を選択します。
エンタープライズ インスタンスを作成するには、Filestore API を使用してオペレーションを直接実行する必要があります。
[**割り当て容量**] に、使用する容量を入力します。1 TB と 10 TB の間の値を 256 GiB(0.25 TiB)刻みで入力する必要があります。
[リージョン] で、使用するリージョンを選択します。
[**VPC ネットワーク**] で、 Filestore インスタンスと NFS クライアントに使用するネットワークを選択します。
- Managed Microsoft AD が Filestore インスタンスと同じプロジェクトにある場合、VPC ネットワークは Managed Microsoft AD ドメインで承認される必要があります。
- Managed Microsoft AD が別のプロジェクトにある場合、VPC ネットワークは、Managed Microsoft AD 構成で Active Directory ネットワーク ピアリングで構成する必要があります。
[割り当てられた IP 範囲] で、 [自動的に割り振られた IP 範囲を使用する(推奨)] を選択します。
[**プロトコル**] で [**NFSv4.1**] を選択します。
インスタンスの認証設定を構成する
- インスタンスの認証設定を構成します。
- [認証] をクリックします。
- Managed Microsoft AD をホストするプロジェクトを選択します。このガイドでは、現在のプロジェクトを使用するプロジェクトであると仮定します。[Active Directory ドメインに参加] リストで、使用する Managed Microsoft AD ドメインを選択します。
- [コンピュータ アカウント名] フィールドに、Managed Microsoft AD ドメインで Filestore インスタンスを識別するために使用するコンピュータ アカウント名を入力します。名前は 15 文字の英数字に制限されています。
- [ファイル共有の名前] フィールドに、NFSv4.1 クライアントで使用される共有の名前を入力します。
[アクセス制御] ペインで、次のいずれかの操作を行います。
Managed Microsoft AD を使用する場合は、[IP アドレスまたは範囲でアクセスを制限する] を選択します。
- 定義する IP またはサブネットによってアクセスルールを設定します。このガイドでは、次の設定を使用します。
- [IP アドレスまたは範囲 1] フィールドに、使用する IP アドレスまたは範囲を入力します。
- [アクセス 1] プルダウン リストをクリックし、[管理者] を選択します。
[Mount
sec=1] プルダウン リストをクリックし、[sys] チェックボックスをオンにします。
Filestore のデフォルトの
/のオーナーはrootです。他のユーザーとグループのインスタンスへのアクセスを有効にするには、Adminロールとsec=sysセキュリティ設定を使用して、管理 VM アクセスを有効にするアクセスルールを作成する必要があります。Managed Microsoft AD を使用していない場合は、[VPC ネットワーク上のすべてのクライアントへのアクセス権を付与する] を選択します。
Managed Microsoft AD を使用していない場合、サポートされるセキュリティ設定は
sec=sysのみです。
[作成] をクリックしてインスタンスを作成します。
gcloud
-
gcloud CLI がすでにインストールされている場合は、次のコマンドを実行して更新します。
gcloud components update gcloud beta filestore instances createコマンドを実行して、Filestore ゾーン、 リージョン、エンタープライズ インスタンスを作成します。gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \ --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \ --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \ --project=CONSUMER_PROJECT_IDここで
- INSTANCE_ID は作成する Filestore インスタンスのインスタンス ID です。インスタンスに名前を付けるをご覧ください。
- DESCRIPTION は、使用するインスタンスの説明です。
- LOCATION は、Filestore インスタンスを配置する場所です。
- TIER は、使用する サービス階層 に置き換えます。
- PROTOCOL は
NFS_v4_1です。 - FILE_SHARE_NAME は、インスタンスから提供される NFS ファイル共有に指定する名前です。
- CAPACITY は、ファイル共有に使用するサイズで、1 TiB と 10 TiB の間です。
VPC_NETWORK は、インスタンスで使用する VPC ネットワークの名前です。VPC ネットワークを選択するをご覧ください。
- サービス プロジェクトから共有 VPC を指定する場合は、次の形式の完全修飾ネットワーク名を指定する必要があります。
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME次のように
connect-mode=PRIVATE_SERVICE_ACCESSを指定します。--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS- 以前のネットワークを vpc_network 値に指定することはできません。必要に応じて、 自動モードの VPC ネットワークを作成するの手順に沿って、使用する 新しい VPC ネットワークを作成します。
MANAGED_AD_PROJECT_ID は、 Managed Microsoft AD サービスが配置されているプロジェクト ID です。
MANAGED_AD_DOMAIN_NAME は、使用する Managed Microsoft AD サービスのドメイン名です。このドメイン名は、Managed Microsoft AD ドメインを作成するときに選択します。
DOMAIN_COMPUTER_ACCOUNT は、ドメイン内で呼び出す クラスタの名前です。
CONSUMER_PROJECT_ID は、Filestore インスタンスを含むプロジェクトのプロジェクト ID です。
CONNECT_MODE は
DIRECT_PEERINGまたはPRIVATE_SERVICE_ACCESSです。 共有 VPC をネットワークとして指定する場合は、接続モードとしてPRIVATE_SERVICE_ACCESSも指定する必要があります。このフラグは、VPC ネットワーク ピアリングに必要です。これは、Managed Microsoft AD を使用する場合の要件です。RESERVED_IP_RANGE は、Filestore インスタンスの IP アドレス範囲です。
connect-mode=PRIVATE_SERVICE_ACCESSが指定されていて、予約された IP アドレス範囲を使用する場合は、CIDR の範囲ではなく、 割り当てられたアドレス範囲 の名前を指定する必要があります。予約済み IP アドレスを構成するをご覧ください。このフラグを省略して、Filestore が空いている IP アドレス範囲を自動的に見つけてインスタンスに割り当てられるようにすることをおすすめします。
Filestore インスタンスから Managed Microsoft AD を接続解除する
Google Cloud コンソール
Managed Microsoft AD に接続されている Filestore インスタンスを接続解除します。
コンソールで、Filestore インスタンス ページに移動します。 Google Cloud
編集するインスタンスのインスタンス ID をクリックします。
[NFS マウント ポイント] ペインの [プロトコル] の下の [ディレクトリ サービス名] の隣の [AD ドメインを接続解除する] をクリックします。
[ドメインからの接続解除に失敗した] ウィンドウで、アラートを読んでから、[インスタンスを編集する] をクリックします。
アクセス制御の少なくとも 1 つのルールは、Access=Admin Mountと
sec=sys などのsysマウント セキュリティ設定で管理者ロールにマッピングされる必要があります。[共有を編集する] ペインで、[アクセス] が [管理者] に設定されているルールを特定します。[Mount
sec=...] をクリックし、 [sys] を選択して既存の設定にそのオプションを追加します。[OK] をクリックします。
[保存] をクリックします。
[ディレクトリ サービス名] の横で、 [AD ドメインを接続解除する] をクリックします。
[ドメインから接続解除しますか?] ウィンドウのフィールドに、接続解除するドメインの名前を入力します。
[接続を解除] をクリックします。
アクセスルールを編集する
ページを更新すると、[ディレクトリ サービス名] が [なし] に設定されます。
[編集] をクリックします。
[共有を編集する] ペインで、編集者などの管理者以外のロールへのアクセス権を設定するルールを特定します。ルールで [Mount
sec=...] をクリックし、sysを選択して既存の設定に追加します。[OK] をクリックします。[保存] をクリックします。
ページを更新してください。
ルールの設定が更新されます。
Managed Microsoft AD を Filestore インスタンスに再接続する
Google Cloud コンソール
Filestore インスタンスを Managed Microsoft AD に再接続します。
[NFS マウント ポイント] ペインの [プロトコル] の下の [ディレクトリ サービス名] の隣の [AD ドメインに参加する] をクリックします。
[このインスタンスを Active Directory ドメインに参加させる] ウィンドウで [現在のプロジェクトのドメインを使用する] を選択し、[Active Directory ドメインに参加する] メニューで使用するドメインを選択します。
[コンピュータ アカウント名] メニューで名前を入力します。
[ドメインに参加する] をクリックします。
ページを更新すると、[ディレクトリ サービス名] が選択によって更新されていることに注意してください。
[編集] をクリックします。
[共有を編集する] ペインで、該当するすべてのルールで [Mount
sec=...] をクリックし、sysの選択を解除します。[OK] をクリックします。[保存] をクリックします。
ページを更新してください。
ルールの設定が更新されます。