Membuat instance Filestore dengan Microsoft AD Terkelola

Buat instance Filestore yang menggunakan protokol NFSv4.1 dengan Managed Microsoft AD.

Sebelum memulai

Sebelum membuat instance Filestore baru, pastikan Anda memiliki kuota yang cukup. Rentang kuota instance menurut lokasi region dan tingkat layanan yang ingin Anda gunakan. Untuk menambah kuota yang tersedia, Anda harus mengirimkan permintaan penambahan kuota.

Buat domain Microsoft AD Terkelola

Jika Anda ingin menggunakan Managed Microsoft AD dengan instance Filestore, domain Managed Microsoft AD harus dibuat sebelum instance Filestore.

  1. Domain Microsoft AD Terkelola dan instance Filestore harus menggunakan VPC yang sama saat berada di project yang sama.

    Jika layanan Microsoft AD Terkelola Anda dihosting di project yang terpisah dari instance Filestore yang ingin Anda gunakan, jaringan VPC Filestore harus di-peering ke domain Microsoft AD Terkelola.

    Untuk mengetahui informasi selengkapnya, lihat Men-deploy Microsoft AD Terkelola dengan akses lintas-project menggunakan peering domain.

  2. Selesaikan semua langkah penyiapan untuk membuat instance Filestore.

  3. Pastikan pengguna Managed Microsoft AD memiliki kolom POSIX RFC 2307 dan RFC 2307bis yang terisi, seperti berikut.

    Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi objek di Managed Microsoft AD, lihat Objek Active Directory terkelola.

    Active Directory Users and Computers

    Langkah-langkah berikut menjelaskan atribut yang perlu Anda tetapkan untuk pengguna dan grup LDAP. Anda dapat mengelola atribut POSIX menggunakan snap-in MMC Active Directory Users and Computers.

    Buka Attribute Editor sebagai berikut:

    1. Klik Mulai.

    2. Klik Windows Administrative Tools, lalu pilih Active Directory Users and Computers.

      Jendela Active Directory Users and Computers akan terbuka.

    3. Pilih nama domain yang ingin Anda lihat. Untuk meluaskan isinya, klik panah peluas .

    4. Di menu View Pengguna dan Komputer Active Directory, pilih Advanced Features.

    5. Di panel kiri, klik dua kali Pengguna.

    6. Di daftar pengguna, klik dua kali pengguna untuk melihat tab Attribute Editor-nya.

      Pengguna LDAP harus memiliki setelan atribut berikut:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Setiap pengguna harus memiliki uidNumber unik. Perhatikan bahwa nilai untuk atribut uid peka huruf besar/kecil. Untuk atribut objectClass, user adalah setelan default pada sebagian besar deployment Active Directory (AD). Berikut adalah contohnya:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Grup LDAP harus memiliki setelan atribut berikut:

      • cn
      • gidNumber
      • objectClass

      Setiap grup harus memiliki gidNumber yang unik. Perhatikan bahwa nilai untuk atribut cn peka huruf besar/kecil. Untuk atribut objectClass, group adalah setelan default pada sebagian besar deployment AD. Berikut adalah contohnya:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Beri Filestore akses untuk membuat dan mengelola objek di Managed Microsoft AD menggunakan perintah gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer. \
--role=roles/managedidentities.filestoreintegrator

    Ganti kode berikut:

    • MANAGED_MICROSOFT_AD_PROJECT_ID adalah project ID dari project tempat domain Managed Microsoft AD berada.
    • PROJECT_ID adalah project ID project tempat instance Filestore berada.

    Anda mungkin melihat error, yang mirip dengan berikut ini:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer. does not exist.

    Jika ya, gunakan perintah berikut untuk menyelesaikannya:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Membuat instance Filestore dengan Managed Microsoft AD

Google Cloud console

Menyiapkan parameter instance

  1. Di konsol Google Cloud , buka halaman instance Filestore.

    Buka halaman instance Filestore

  2. Klik Create Instance.

  3. Tentukan parameter dasar instance:

    1. Di kolom Instance ID, masukkan nama yang ingin Anda gunakan untuk instance Filestore.

    2. Di Instance Type, pilih Regional atau Zonal.

      Untuk membuat instance Enterprise, Anda harus menjalankan operasi langsung melalui Filestore API.

    3. Di Kapasitas yang Dialokasikan, masukkan kapasitas yang ingin Anda gunakan. Anda harus memasukkan nilai antara 1 TB dan 10 TB, dengan kelipatan 256 GiB (0,25 TiB).

    4. Di Region, pilih region yang ingin Anda gunakan.

    5. Di VPC Network, pilih jaringan yang ingin Anda gunakan untuk instance Filestore dan klien NFS.

      • Jika Managed Microsoft AD berada dalam project yang sama dengan instance Filestore, jaringan VPC harus diberi otorisasi di domain Managed Microsoft AD.
      • Jika Managed Microsoft AD berada dalam project terpisah, jaringan VPC harus dikonfigurasi dengan peering jaringan Active Directory pada konfigurasi Managed Microsoft AD.

    6. Di Allocated IP range, pilih Use an automatically allocated IP range (recommended).

    7. Di bagian Protocol, pilih NFSv4.1.

Mengonfigurasi setelan autentikasi instance

  1. Konfigurasi setelan autentikasi instance.
    1. Klik Autentikasi.
    2. Pilih project yang menghosting Managed Microsoft AD. Untuk tujuan panduan ini, kita akan mengasumsikan bahwa project saat ini adalah project yang ingin kita gunakan. Dalam daftar Bergabung dengan domain Active Directory, pilih domain Microsoft AD Terkelola yang ingin Anda gunakan.
    3. Di kolom Nama akun komputer, masukkan nama akun komputer yang ingin Anda gunakan untuk mengidentifikasi instance Filestore di domain Managed Microsoft AD. Nama dibatasi hingga 15 karakter alfanumerik.
    4. Di kolom File share name, masukkan nama share yang akan digunakan oleh klien NFSv4.1.

  2. Di panel Kontrol Akses, selesaikan salah satu langkah berikut:

    • Jika menggunakan Managed Microsoft AD, pilih Batasi akses menurut alamat atau rentang IP.

      1. Tetapkan aturan akses menurut IP atau subnet yang ingin Anda tentukan. Untuk tujuan panduan ini, gunakan setelan berikut:
      2. Di kolom Alamat atau rentang IP 1, masukkan alamat atau rentang IP yang ingin Anda gunakan.
      3. Klik menu drop-down Akses 1, lalu pilih Admin. Klik menu drop-down Mountsec= 1, lalu centang kotak sys.

      Pemilik / default Filestore adalah root. Untuk mengaktifkan akses ke instance bagi pengguna dan grup lain, Anda harus membuat aturan akses yang mengaktifkan akses VM pengelolaan menggunakan peran Admin dan setelan keamanan sec=sys.

    • Jika Anda tidak menggunakan Managed Microsoft AD, pilih Berikan akses ke semua klien di jaringan VPC.

      Jika Managed Microsoft AD tidak digunakan, satu-satunya setelan keamanan yang didukung adalah sec=sys.

  3. Klik Buat untuk membuat instance.

gcloud

  1. Instal dan lakukan inisialisasi gcloud CLI.

    Jika Anda sudah menginstal gcloud CLI, jalankan perintah berikut untuk mengupdatenya:

    gcloud components update

  2. Jalankan perintah gcloud beta filestore instances create untuk membuat instance Filestore zona, regional, atau perusahaan:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Dengan:

    • INSTANCE_ID adalah ID instance Filestore yang ingin Anda buat. Lihat Beri nama instance Anda.
    • DESCRIPTION adalah deskripsi untuk instance yang ingin Anda gunakan.
    • LOCATION adalah lokasi tempat Anda ingin instance Filestore berada.
    • TIER adalah tingkat layanan yang ingin Anda gunakan.
    • PROTOCOL adalah NFS_v4_1.
    • FILE_SHARE_NAME adalah nama yang Anda tentukan untuk berbagi file NFS yang disajikan dari instance.
    • CAPACITY adalah ukuran yang Anda inginkan untuk berbagi file, antara 1 TiB hingga 10 TiB.

    • VPC_NETWORK adalah nama jaringan VPC yang ingin Anda gunakan untuk instance. Lihat Pilih jaringan VPC.

      • Jika ingin menentukan VPC Bersama dari project layanan, Anda harus menentukan nama jaringan yang memenuhi syarat sepenuhnya, yang dalam format berikut:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Tentukan connect-mode=PRIVATE_SERVICE_ACCESS, serupa dengan berikut ini:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID adalah project ID tempat layanan Microsoft AD Terkelola berada.

    • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan. Anda memilih nama domain ini saat membuat domain Microsoft AD Terkelola.

    • DOMAIN_COMPUTER_ACCOUNT adalah nama apa pun yang Anda inginkan untuk kluster di domain.

    • CONSUMER_PROJECT_ID adalah project ID project yang berisi instance Filestore.

    • CONNECT_MODE adalah DIRECT_PEERING atau PRIVATE_SERVICE_ACCESS. Jika Anda menentukan VPC Bersama sebagai jaringan, Anda juga harus menentukan PRIVATE_SERVICE_ACCESS sebagai mode koneksi. Flag ini diperlukan untuk Peering Jaringan VPC, yang merupakan persyaratan saat menggunakan Managed Microsoft AD.

    • RESERVED_IP_RANGE adalah rentang alamat IP untuk instance Filestore. Jika Anda menentukan connect-mode=PRIVATE_SERVICE_ACCESS, dan ingin menggunakan rentang alamat IP yang dicadangkan, Anda harus menentukan nama rentang alamat yang dialokasikan bukan rentang CIDR. Lihat Mengonfigurasi alamat IP yang dipesan. Sebaiknya lewati tanda ini agar Filestore dapat menemukan rentang alamat IP yang tersedia secara otomatis dan menetapkannya ke instance.

Memutuskan koneksi Microsoft AD Terkelola dari instance Filestore

Google Cloud console

  1. Batalkan hubungan instance Filestore yang terhubung ke Managed Microsoft AD.

    Di konsol Google Cloud , buka halaman Filestore Instances.

    Buka halaman instance Filestore

  2. Klik ID instance dari instance yang ingin Anda edit.

  3. Di panel NFS mount point, di bagian Protocol, di samping Directory service name, klik Disconnect AD domain.

  4. Di jendela Gagal membatalkan hubungan dari domain, baca pemberitahuan, lalu, klik Edit instance.

    Setidaknya satu aturan di Kontrol akses harus dipetakan ke peran Administrator dengan setelan keamanan pemasangan sys, seperti, Access=Admin Mount dan sec=sys.

  5. Di panel Edit berbagi, temukan aturan yang Akses-nya ditetapkan ke Admin. Klik Pasang sec= ..., lalu pilih sys untuk menambahkan opsi tersebut ke setelan yang ada.

  6. Klik Oke.

  7. Klik Simpan.

  8. Di samping Nama layanan direktori, klik Putuskan koneksi domain AD.

  9. Di kolom pada jendela Putuskan hubungan dari domain?, masukkan nama domain yang ingin Anda putuskan hubungannya.

  10. Klik Putuskan sambungan.

Edit aturan akses

  1. Muat ulang halaman. Perhatikan bahwa Nama layanan direktori kini disetel ke Tidak Ada.

  2. Klik Edit.

  3. Di panel Edit berbagi, temukan aturan yang menetapkan akses untuk peran selain Admin, seperti Editor. Di aturan, klik Mount sec= ..., lalu pilih sys untuk menambahkannya ke setelan yang ada. Klik Oke.

  4. Klik Simpan.

  5. Muat ulang halaman.

    Setelan aturan diperbarui.

Menghubungkan kembali Managed Microsoft AD ke instance Filestore

Google Cloud console

  1. Menghubungkan kembali instance Filestore ke Managed Microsoft AD.

    Di panel NFS mount point, di bagian Protocol, di samping Directory service name, klik Join AD domain.

  2. Di jendela Gabungkan instance ini ke Domain Active Directory, pilih Gunakan domain dari project saat ini, di menu Gabungkan ke Domain Active Directory, pilih domain yang ingin Anda gunakan.

  3. Di menu Nama akun komputer, masukkan nama.

  4. Klik Gabung ke Domain.

  5. Muat ulang halaman. Perhatikan bahwa Nama layanan direktori telah diperbarui dengan pilihan Anda.

  6. Klik Edit.

  7. Di panel Edit berbagi, klik Pasang sec= ... di semua aturan yang berlaku dan hapus pilihan sys. Klik Oke.

  8. Klik Simpan.

  9. Muat ulang halaman.

Setelan aturan diperbarui.