crie uma instância do Filestore com o Microsoft AD gerenciado

Crie uma instância do Filestore que use o protocolo NFSv4.1 com o Microsoft AD gerenciado.

Antes de começar

Antes de criar uma instância do Filestore, verifique se você tem cota suficiente. A cota da instância varia de acordo com o local da região e o nível de serviço que você quer usar. Para aumentar a cota disponível, envie uma solicitação de aumento de cota.

Criar o domínio do Microsoft AD gerenciado

Se você quiser usar o Microsoft AD gerenciado com uma instância do Filestore, o domínio do Microsoft AD gerenciado precisa ser criado antes da instância do Filestore.

  1. O domínio do Microsoft AD gerenciado e a instância do Filestore precisam usar a mesma VPC no mesmo projeto.

    Se o serviço do Microsoft AD gerenciado estiver hospedado em um projeto separado da instância do Filestore que você quer usar, a rede VPC do Filestore precisará ser pareada com o domínio do Microsoft AD gerenciado.

    Para mais informações, consulte Implantar o Microsoft AD gerenciado com acesso entre projetos usando o peering de domínio.

  2. Conclua todas as etapas de configuração para criar uma instância do Filestore.

  3. Verifique se os usuários do Microsoft AD gerenciado têm os campos POSIX RFC 2307 e RFC 2307bis preenchidos, semelhantes ao seguinte.

    Para mais informações sobre como configurar objetos no Microsoft AD gerenciado, consulte Objetos do Active Directory gerenciado.

    Usuários e computadores do Active Directory

    As etapas a seguir descrevem os atributos que você precisa definir para usuários e grupos LDAP. É possível gerenciar atributos POSIX usando o snap-in do MMC Usuários e computadores do Active Directory.

    Abra o Editor de atributos da seguinte maneira:

    1. Clique em Iniciar.

    2. Clique em Ferramentas administrativas do Windows e selecione Usuários e computadores do Active Directory.

      A janela Usuários e computadores do Active Directory será aberta.

    3. Selecione o nome de domínio que você quer visualizar. Para expandir o conteúdo, clique na seta expansora.

    4. No menu Visualizar de Usuários e computadores do Active Directory, selecione Recursos avançados.

    5. No painel à esquerda, clique duas vezes em Usuários.

    6. Na lista de usuários, clique duas vezes em um usuário para conferir a guia Editor de atributos.

      Os usuários LDAP precisam ter os seguintes atributos definidos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuário precisa ter um uidNumber exclusivo. Observe que o valor do atributo uid diferencia maiúsculas de minúsculas. Para o atributo objectClass, user é a configuração padrão na maioria das implantações do Active Directory (AD). Confira o seguinte exemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Os grupos LDAP precisam ter os seguintes atributos definidos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo precisa ter um gidNumber exclusivo. Observe que o valor do atributo cn diferencia maiúsculas de minúsculas. Para o atributo objectClass, group é a configuração padrão na maioria das implantações do AD. Confira o seguinte exemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Conceda acesso ao Filestore para criar e gerenciar objetos no Microsoft AD gerenciado usando o gcloud projects add-iam-policy-binding comando:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Substitua:

    • MANAGED_MICROSOFT_AD_PROJECT_ID é o ID do projeto em que o domínio do Microsoft AD gerenciado está localizado.
    • PROJECT_ID é o ID do projeto em que a instância do Filestore está localizada.

    Você pode receber um erro semelhante a este:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Se isso acontecer, use o comando a seguir para resolver o problema:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Criar uma instância do Filestore com o Microsoft AD gerenciado

Google Cloud Console do

Configurar os parâmetros da instância

  1. No Google Cloud Console do, acesse a página de instâncias do Filestore.

    Acessar a página de instâncias do Filestore

  2. Clique em Criar instância.

  3. Especifique os parâmetros básicos da instância:

    1. No campo ID da instância, insira o nome que você quer usar para a instância do Filestore.

    2. Em Tipo de instância, selecione Regional ou Zonal.

      Para criar uma instância empresarial, execute operações diretamente pela API Filestore.

    3. Em Capacidade alocada, insira a capacidade que você quer usar. É necessário inserir um valor entre 1 TB e 10 TB, em incrementos de 256 GiB (0,25 TiB).

    4. Em Região, selecione a região que você quer usar.

    5. Em Rede VPC, selecione a rede que você quer usar para a instância do Filestore e os clientes NFS.

      • Se o Microsoft AD gerenciado estiver no mesmo projeto que a instância do Filestore, a rede VPC precisará ser autorizada no domínio do Microsoft AD gerenciado.
      • Se o Microsoft AD gerenciado estiver em um projeto separado, a rede VPC precisará ser configurada com o peering de rede do Active Directory na configuração do Microsoft AD gerenciado.

    6. Em Intervalo de IP alocado, selecione Usar um intervalo de IP alocado automaticamente (recomendado).

    7. Em Protocolo, selecione NFSv4.1.

Configurar as definições de autenticação da instância

  1. Configure as definições de autenticação da instância.
    1. Clique em Autenticação.
    2. Selecione o projeto que hospeda o Microsoft AD gerenciado. Para fins deste guia, vamos presumir que o projeto atual é o que queremos usar. Na lista Vincular a um domínio do Active Directory, selecione o domínio do Microsoft AD gerenciado que você quer usar.
    3. No campo Nome da conta do computador, insira o nome da conta do computador que você quer usar para identificar a instância do Filestore no domínio do Microsoft AD gerenciado. O nome é limitado a 15 caracteres alfanuméricos.
    4. No campo Nome do compartilhamento de arquivos, insira o nome do compartilhamento que será usado pelos clientes NFSv4.1.

  2. No painel Controle de acesso, conclua uma das seguintes etapas:

    • Se você estiver usando o Microsoft AD gerenciado, selecione Restringir acesso por endereço ou intervalo de IP.

      1. Defina a regra de acesso por IP ou sub-rede que você quer definir. Para fins deste guia, use as seguintes configurações:
      2. No campo Endereço IP ou intervalo 1, insira o endereço IP ou o intervalo que você quer usar.
      3. Clique na lista suspensa Acesso 1 e selecione Administrador. Clique na lista suspensa Montarsec= 1 e selecione a caixa de seleção sys.

      O proprietário padrão / do Filestore é root. Para ativar o acesso à instância para outros usuários e grupos, crie uma regra de acesso que permita o acesso à VM de gerenciamento usando o papel Admin e a configuração de segurança sec=sys.

    • Se você não estiver usando o Microsoft AD gerenciado, selecione Permitir acesso a todos os clientes na rede VPC.

      Se o Microsoft AD gerenciado não for usado, a única configuração de segurança compatível será sec=sys.

  3. Clique em Criar para criar a instância.

gcloud

  1. Instale e inicialize a CLI gcloud.

    Se a CLI gcloud já estiver instalada, execute o comando a seguir para atualizá-la:

    gcloud components update

  2. Execute o gcloud beta filestore instances create comando para criar uma instância zonal, regional, ou empresarial do Filestore:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Em que:

    • INSTANCE_ID é o ID da instância do Filestore que você quer criar. Consulte Nomear sua instância.
    • DESCRIPTION é uma descrição da instância que você quer usar.
    • LOCATION é o local onde você quer que a instância do Filestore resida.
    • TIER é o nível de serviço que você quer usar.
    • PROTOCOL é NFS_v4_1.
    • FILE_SHARE_NAME é o nome que você especifica para o compartilhamento de arquivos NFS que é exibido pela instância.
    • CAPACITY é o tamanho que você quer para o compartilhamento de arquivos, entre 1 TiB e 10 TiB.

    • VPC_NETWORK é o nome da rede VPC a ser usada pela instância. Consulte Selecionar a rede VPC.

      • Se você quiser especificar uma VPC compartilhada de um projeto de serviço, insira o nome da rede totalmente qualificado, que está no seguinte formato:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Especifique connect-mode=PRIVATE_SERVICE_ACCESS, semelhante ao seguinte:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID é o ID do projeto em que o serviço do Microsoft AD gerenciado está localizado.

    • MANAGED_AD_DOMAIN_NAME é o nome de domínio do serviço do Microsoft AD gerenciado que você quer usar. Você escolhe esse nome de domínio ao criar um domínio do Microsoft AD gerenciado.

    • DOMAIN_COMPUTER_ACCOUNT é qualquer nome que você quer que o cluster seja chamado no domínio.

    • CONSUMER_PROJECT_ID é o ID do projeto que contém a instância do Filestore.

    • CONNECT_MODE é DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Se você especificar uma VPC compartilhada como a rede, também precisará especificar PRIVATE_SERVICE_ACCESS como o modo de conexão. Essa flag é necessária para o peering de rede VPC, que é um requisito ao usar o Microsoft AD gerenciado.

    • RESERVED_IP_RANGE é o intervalo de endereços IP da instância do Filestore. Se você estiver especificando connect-mode=PRIVATE_SERVICE_ACCESS, e quiser usar um intervalo de endereços IP reservado, especifique o nome de um intervalo de endereço alocado em vez de um intervalo CIDR. Consulte Configurar um endereço IP reservado. Recomendamos que você pule essa flag para permitir que o Filestore encontre automaticamente um intervalo de endereços IP livre e o atribua à instância.

Desconectar um Microsoft AD gerenciado de uma instância do Filestore

Google Cloud Console do

  1. Desconecte uma instância do Filestore conectada ao Microsoft AD gerenciado.

    No Google Cloud Console do, acesse a página de instâncias do Filestore.

    Acessar a página de instâncias do Filestore

  2. Clique no ID da instância que você quer editar.

  3. No painel Ponto de montagem do NFS, em Protocolo, ao lado de Nome do serviço de diretório, clique em Desconectar domínio do AD.

  4. Na janela Falha ao desconectar do domínio , leia o alerta e clique em Editar instância.

    Pelo menos uma regra em Controle de acesso precisa ser mapeada para a função de administrador com a configuração de segurança de montagem sys, como Acesso=Admin Mount e sec=sys.

  5. No painel Editar compartilhamento, localize a regra em que Acesso está definido como Administrador. Clique em Montar sec= ... e selecione sys para adicionar essa opção à configuração atual.

  6. Clique em OK.

  7. Clique em Salvar.

  8. Ao lado de Nome do serviço de diretório, clique em Desconectar domínio do AD.

  9. No campo da janela Desconectar do domínio?, insira o nome do domínio do qual você quer se desconectar.

  10. Clique em Desconectar.

Editar as regras de acesso

  1. Atualize a página. Observe que Nome do serviço de diretório agora está definido como Nenhum.

  2. Clique em Editar.

  3. No painel Editar compartilhamento, localize qualquer regra que defina o acesso para um papel diferente de Administrador, como Editor. Na regra, clique em Montar sec= ... e selecione sys para adicioná-la à configuração atual. Clique em OK.

  4. Clique em Salvar.

  5. Atualize a página.

    As configurações de regra são atualizadas.

Reconectar um Microsoft AD gerenciado a uma instância do Filestore

Google Cloud Console do

  1. Reconecte uma instância do Filestore ao Microsoft AD gerenciado.

    No painel Ponto de montagem do NFS, em Protocolo, ao lado de Nome do serviço de diretório, clique em Vincular domínio do AD.

  2. Na janela Associar essa instância a um domínio do Active Directory, selecione Usar domínios do projeto atual e, no menu Associar a um domínio do Active Directory, selecione o domínio que você quer usar.

  3. No menu Nome da conta do computador, insira um nome.

  4. Clique em Associar domínio.

  5. Atualize a página. O Nome do serviço de diretório foi atualizado com sua seleção.

  6. Clique em Editar.

  7. No painel Editar compartilhamento, clique em Montar sec= ... em todas as regras aplicáveis e remova a sys seleção. Clique em OK.

  8. Clique em Salvar.

  9. Atualize a página.

As configurações de regra são atualizadas.