NFSv4.1 프로토콜 구성

다음 가이드에서는 새 Filestore 인스턴스로 NFSv4.1 프로토콜을 구현하는 방법을 보여줍니다.

NFSv4.1 정보

Filestore는 다음 서비스 등급에서 만든 인스턴스에 NFSv4.1 프로토콜 지원을 제공합니다.

  • 영역
  • 리전
  • Enterprise

이 기능은 Microsoft Active Directory의 관리형 서비스(관리형 Microsoft AD)와 통합하여 클라이언트 및 서버 인증, 메시지 데이터 무결성 검사, 전송 중 데이터 암호화(이전에는 Filestore에서 사용할 수 없는 기능)가 필요한 워크로드를 지원할 수 있습니다.

  • 인증은 LDAPKerberos를 사용하여 지원되며 다음과 같은 보안 버전 (설정)이 포함됩니다.

    • 클라이언트 및 서버 인증 (krb5)
    • 메시지 무결성 검사 (krb5i). 이전 설정의 기능이 포함됩니다.
    • 전송 중 데이터 암호화 (krb5p). 이전 설정의 기능을 포함합니다.

관리형 Microsoft AD는 NFSv4.1 프로토콜의 요구사항인 LDAPKerberos와 보안 및 개인 정보 보호 이점을 모두 지원하는 유일한 완전 관리형 Google Cloud 솔루션입니다. 관리형 Microsoft AD와 통합하는 것은 필수가 아니지만, 최적의 Google Cloud 사용자 환경을 위해 사용자 계정과 변동하는 그룹 및 권한을 관리하는 것이 좋습니다.

NFSv4.1을 사용해야 하나요?

많은 기업 조직에서는 비즈니스상 중요한 작업에 기존 시스템을 사용하고 있습니다. 이러한 시스템의 대부분은 네트워크 파일 저장소에 인증 및 전송 중 암호화가 필요합니다. NFSv3는 인증을 염두에 두고 설계되지 않았습니다. 이제 Filestore의 NFSv4.1 프로토콜과 관리형 Microsoft AD의 통합이 이 중요한 사용자 요구사항을 충족합니다.

목표

이 가이드에서는 다음 작업을 완료하는 방법을 알아봅니다.

NFSv4.1을 사용하는 Filestore 인스턴스 만들기

Filestore 인스턴스에서 관리형 Microsoft AD를 사용하려면 Filestore 인스턴스 전에 관리형 Microsoft AD 도메인을 만들어야 합니다.

시작하기 전에

  1. 관리형 Microsoft AD 도메인과 Filestore 인스턴스 모두 동일한 프로젝트에 있는 동안 동일한 VPC를 사용해야 합니다.

    관리형 Microsoft AD 서비스가 사용하려는 Filestore 인스턴스와 별도의 프로젝트에 호스팅되는 경우 Filestore VPC 네트워크를 관리형 Microsoft AD 도메인에 피어링해야 합니다.

    자세한 내용은 도메인 피어링을 사용하여 프로젝트 간 액세스가 가능한 관리형 Microsoft AD 배포를 참고하세요.

  2. Filestore 인스턴스를 만들기 위한 모든 설정 단계를 완료합니다.

  3. 관리형 Microsoft AD 사용자에게 다음과 같이 POSIX RFC 2307RFC 2307bis 필드가 채워져 있는지 확인합니다.

    관리형 Microsoft AD에서 객체를 구성하는 방법에 관한 자세한 내용은 관리형 Active Directory 객체를 참고하세요.

    Active Directory 사용자 및 컴퓨터

    다음 단계에서는 LDAP 사용자 및 그룹에 설정해야 하는 속성을 설명합니다. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 POSIX 속성을 관리할 수 있습니다.

    다음과 같이 속성 편집기를 엽니다.

    1. 시작을 클릭합니다.

    2. Windows 관리 도구를 클릭하고 Active Directory 사용자 및 컴퓨터를 선택합니다.

      Active Directory 사용자 및 컴퓨터 창이 열립니다.

    3. 확인할 도메인 이름을 선택합니다. 내용을 펼치려면 펼치기 화살표를 클릭합니다.

    4. Active Directory 사용자 및 컴퓨터 보기 메뉴에서 고급 기능을 선택합니다.

    5. 왼쪽 창에서 사용자를 더블클릭합니다.

    6. 사용자 목록에서 사용자를 더블클릭하여 속성 편집기 탭을 봅니다.

      LDAP 사용자는 다음 속성을 설정해야 합니다.

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      사용자마다 uidNumber가 고유해야 합니다. uid 속성의 값은 대소문자를 구분합니다. objectClass 속성의 경우 대부분의 Active Directory (AD) 배포에서 user가 기본 설정입니다. 다음은 그 예시입니다.

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      LDAP 그룹에는 다음 속성이 설정되어야 합니다.

      • cn
      • gidNumber
      • objectClass

      각 그룹에는 고유한 gidNumber가 있어야 합니다. cn 속성의 값은 대소문자를 구분합니다. objectClass 속성의 경우 대부분의 AD 배포에서 group가 기본 설정입니다. 다음은 예시입니다.

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. gcloud projects add-iam-policy-binding 명령어를 사용하여 관리형 Microsoft AD에서 객체를 만들고 관리할 수 있는 Filestore 액세스 권한을 부여합니다.

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    다음을 바꿉니다.

    • MANAGED_MICROSOFT_AD_PROJECT_ID는 관리형 Microsoft AD 도메인이 있는 프로젝트의 프로젝트 ID입니다.
    • PROJECT_ID는 Filestore 인스턴스가 있는 프로젝트의 프로젝트 ID입니다.

    다음과 유사한 오류가 표시될 수 있습니다.

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    이 경우 다음 명령어를 사용하여 문제를 해결합니다.

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

관리형 Microsoft AD 유무와 관계없이 Filestore 인스턴스 만들기

이 섹션에서는 NFSv4.1 프로토콜과 함께 사용하도록 구성된 Filestore 인스턴스를 만듭니다. 관리형 Microsoft AD를 사용하지 않기로 선택한 사용자를 위한 선택적 단계가 포함되어 있습니다.

  • 할당량이 충분한지 확인합니다.

    인스턴스 할당량은 사용하려는 리전 위치 및 서비스 등급에 따라 다릅니다. 사용 가능한 할당량을 늘리려면 할당량 증가 요청을 제출해야 합니다.

Google Cloud 콘솔

인스턴스 매개변수 설정

  1. Google Cloud 콘솔에서 Filestore 인스턴스 페이지로 이동합니다.

    Filestore 인스턴스 페이지로 이동

  2. 인스턴스 만들기를 클릭합니다.

  3. 이름, 인스턴스 유형, 용량을 비롯한 인스턴스의 기본 매개변수를 지정합니다.

    1. 인스턴스 ID 필드에 Filestore 인스턴스에 사용할 이름을 입력합니다.

    2. 인스턴스 유형에서 리전 또는 영역을 선택합니다.

      엔터프라이즈 인스턴스를 만들려면 Filestore API를 통해 직접 작업을 실행해야 합니다.

    3. 할당된 용량에 사용할 용량을 입력합니다. 1TB~10TB 사이의 값을 256GiB (0.25TiB) 단위로 입력해야 합니다.

    4. 리전에서 사용할 리전을 선택합니다.

    5. VPC 네트워크에서 Filestore 인스턴스 및 NFS 클라이언트에 사용할 네트워크를 선택합니다.

      • 관리형 Microsoft AD가 Filestore 인스턴스와 동일한 프로젝트에 있는 경우 관리형 Microsoft AD 도메인에서 VPC 네트워크를 승인해야 합니다.
      • 관리형 Microsoft AD가 별도의 프로젝트에 있는 경우 VPC 네트워크는 관리형 Microsoft AD 구성에서 Active Directory 네트워크 피어링으로 구성해야 합니다.

    6. 할당된 IP 범위에서 자동으로 할당된 IP 범위 사용 (권장)을 선택합니다.

    7. 프로토콜에서 NFSv4.1을 선택합니다.

인스턴스의 인증 설정 구성

  1. 인스턴스의 인증 설정을 구성합니다.
    1. 인증을 클릭합니다.
    2. 관리형 Microsoft AD를 호스팅하는 프로젝트를 선택합니다. 이 가이드에서는 현재 프로젝트가 사용하려는 프로젝트라고 가정합니다.
    3. Active Directory 도메인에 조인 목록에서 사용할 관리형 Microsoft AD 도메인을 선택합니다.
    4. 컴퓨터 계정 이름 필드에 관리형 Microsoft AD 도메인에서 Filestore 인스턴스를 식별하는 데 사용할 컴퓨터 계정 이름을 입력합니다. 이름은 영숫자 15자로 제한됩니다.
    5. 파일 공유 이름 필드에 NFSv4.1 클라이언트에서 사용할 공유 이름을 입력합니다.

  2. 액세스 제어 창에서 다음 단계 중 하나를 완료합니다.

    • 관리형 Microsoft AD를 사용하는 경우 IP 주소 또는 범위로 액세스 제한을 선택합니다.

      1. 정의하려는 IP 또는 서브넷별로 액세스 규칙을 설정합니다. 이 가이드에서는 다음 설정을 사용하세요.
      2. IP 주소 또는 범위 1 필드에 사용할 IP 주소 또는 범위를 입력합니다.
      3. Access 1 드롭다운 목록을 클릭하고 Admin을 선택합니다.
      4. 마운트sec= 1 드롭다운 목록을 클릭하고 sys 체크박스를 선택합니다.

      Filestore 기본 / 소유자는 root입니다. 다른 사용자와 그룹의 인스턴스 액세스를 사용 설정하려면 Admin 역할과 sec=sys 보안 설정을 사용하여 관리 VM 액세스를 사용 설정하는 액세스 규칙을 만들어야 합니다.

    • 관리형 Microsoft AD를 사용하지 않는 경우 VPC 네트워크의 모든 클라이언트에 액세스 권한 부여를 선택합니다.

      관리형 Microsoft AD를 사용하지 않으면 지원되는 보안 설정은 sec=sys뿐입니다.

  3. 만들기를 클릭하여 인스턴스를 만듭니다.

gcloud

  1. gcloud CLI를 설치하고 초기화합니다.

    gcloud CLI가 이미 설치되어 있으면 다음 명령어를 실행하여 업데이트합니다.

    gcloud components update

  2. 다음 단계 중 하나를 완료합니다.

    1. 관리형 Microsoft AD를 사용하는 경우 다음 gcloud beta filestore instances create 명령어를 실행하여 Filestore 영역, 리전 또는 엔터프라이즈 인스턴스를 만듭니다.

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      다음을 바꿉니다.

      • INSTANCE_ID는 만들려는 Filestore 인스턴스의 인스턴스 ID입니다. 인스턴스 이름 지정을 참고하세요.
      • DESCRIPTION은 사용할 인스턴스에 대한 설명입니다.
      • LOCATION은 Filestore 인스턴스를 저장할 위치입니다.
      • TIER은 사용하려는 서비스 등급입니다.
      • PROTOCOLNFS_v4_1입니다.
      • FILE_SHARE_NAME은 인스턴스에서 제공하는 NFS 파일 공유에 지정하는 이름입니다.
      • CAPACITY는 원하는 파일 공유의 크기로 1TiB~10TiB입니다.

      • VPC_NETWORK는 인스턴스에서 사용할 VPC 네트워크의 이름입니다. VPC 네트워크 선택을 참고하세요. 서비스 프로젝트에서 공유 VPC를 지정하려면 projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME 형식의 정규화된 네트워크 이름을 지정해야 하며 다음과 같이 connect-mode=PRIVATE_SERVICE_ACCESS를 지정해야 합니다.

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        vpc_network 값에 레거시 네트워크를 지정할 수 없습니다. 필요한 경우 자동 모드 VPC 네트워크 만들기의 안내에 따라 사용할 새 VPC 네트워크를 만드세요.

      • MANAGED_AD_PROJECT_ID는 관리형 Microsoft AD 서비스가 있는 프로젝트 ID입니다.

      • MANAGED_AD_DOMAIN_NAME은 사용하려는 관리형 Microsoft AD 서비스의 도메인 이름입니다. 관리형 Microsoft AD 도메인을 만들 때 선택하는 도메인 이름입니다.

      • DOMAIN_COMPUTER_ACCOUNT는 도메인에서 클러스터를 호출할 이름입니다.

      • CONSUMER_PROJECT_ID는 Filestore 인스턴스가 포함된 프로젝트의 프로젝트 ID입니다.

      • CONNECT_MODEDIRECT_PEERING 또는 PRIVATE_SERVICE_ACCESS입니다. 공유 VPC를 네트워크로 지정하는 경우 PRIVATE_SERVICE_ACCESS를 연결 모드로 지정해야 합니다. 이 플래그는 VPC 네트워크 피어링에 필요하며 이는 관리형 Microsoft AD를 사용할 때 요구사항입니다.

      • RESERVED_IP_RANGE는 Filestore 인스턴스의 IP 주소 범위입니다. connect-mode=PRIVATE_SERVICE_ACCESS를 지정하고 예약된 IP 주소 범위를 사용하려면 CIDR 범위 대신 할당된 주소 범위의 이름을 지정해야 합니다. 예약된 IP 주소 구성을 참고하세요. Filestore에서 무료 IP 주소 범위를 자동으로 찾아 인스턴스에 할당할 수 있도록 이 플래그를 건너뛰는 것이 좋습니다.

    2. 관리형 Microsoft AD를 사용하지 않는 경우 이전 단계와 동일한 명령어를 실행하여 Filestore 인스턴스를 만들되 --managed-ad 플래그와 VPC 네트워크 피어링 플래그(connect-modereserved-ip-range)는 생략합니다. 다음 명령어를 예시로 사용하세요.

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

NFSv4.1의 네트워크 기반 액세스 제어 목록 (ACL) 이해

NFSv3에서는 sys 보안 버전만 지원됩니다. 이 설정은 마운트 중에 클라이언트에서 제공하는 사용자 uidgid를 신뢰합니다.

Filestore NFSv4.1 프로토콜에서는 여러 네트워크 ACL 보안 버전 또는 설정을 사용할 수 있습니다.

  • krb5

    관리형 Microsoft AD Kerberos 서버에 대해 유효성이 검사된 Kerberos 티켓을 사용하여 클라이언트를 인증합니다.

  • krb5i

    krb5에서 제공하는 인증을 포함하며 Kerberos를 사용하여 인스턴스와의 모든 네트워크 트래픽에서 메시지 무결성 검사를 실행합니다.

  • krb5p

    krb5에서 제공하는 인증과 krb5i의 메시지 무결성 검사를 포함하며 전송 중 데이터 암호화에도 Kerberos를 사용합니다.

이러한 옵션을 활용하려면 Microsoft Active Directory용 관리형 서비스 통합이 필요합니다.

Microsoft Active Directory용 관리형 서비스 도메인이 지정되지 않은 경우 sys 보안 버전만 지원됩니다.

자세한 내용은 NFSv4.1 제한사항을 참고하세요.

Linux 클라이언트에 Filestore NFSv4.1 인스턴스 마운트

다음 단계에서는 Linux 클라이언트에서 인스턴스를 마운트하는 방법을 보여줍니다.

  • 표준 NFS 권한을 위해 sec=sys로 마운트합니다.

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Kerberos 기반 인증을 위해 sec=krb5로 마운트합니다.

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Kerberos 기반 인증 및 메시지 무결성 검사를 위해 sec=krb5i로 마운트합니다.

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Kerberos 기반 인증, 무결성 검사, 전송 중 암호화를 위해 sec=krb5p로 마운트합니다.

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    다음을 바꿉니다.

    • FILESTORE-INSTANCE-FQDN은 Filestore 인스턴스가 있는 전체 주소 도메인 이름입니다.
    • INSTANCE_SHARE_POINT는 연결하려는 Filestore 인스턴스의 파일 공유 이름입니다.
    • MOUNT_POINT은 마운트할 마운트 지점 또는 디렉터리 이름입니다.

Linux 클라이언트 구성

NFSv4.1 Filestore 인스턴스를 사용하면 클라이언트가 다양한 보안 버전을 사용하여 NFS 작업을 실행할 수 있습니다. 이러한 버전은 생성 중 또는 생성 후 업데이트된 경우 Filestore NFSv4.1 인스턴스의 네트워크 ACL을 통해 인스턴스 관리자가 구성합니다.

sys 보안 버전은 표준 Unix 인증을 사용하는 반면 krb5, krb5i, krb5p 버전은 Kerberos 기반 인증을 사용합니다.

krb5, krb5i, krb5p 버전의 경우 클라이언트가 Filestore 인스턴스와 동일한 관리형 Microsoft AD 도메인에 연결되어 있어야 합니다. 환경에 적합한 다음 단계를 완료합니다.

Ubuntu 이미지

  1. Compute Engine 인스턴스에 SSH로 연결합니다.

  2. 다음 명령어를 실행하여 관리형 Microsoft AD 도메인에 가입합니다.

    1. 다음 설정 명령어를 실행합니다.

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. 영역을 묻는 메시지가 표시되면 기존 항목을 Filestore 인스턴스에서 사용되는 관리형 Microsoft AD 도메인으로 대체합니다. 값을 대문자로 입력한 다음 화살표 키를 눌러 확인을 선택하고 Enter 키를 누릅니다.

    3. 호스트를 입력하라는 메시지가 표시되면 비워 두고 계속 진행합니다.

    4. 다음 단계 중 하나를 완료합니다.

      • 호스트 이름 길이가 15자(영문 기준) 이하인 VM의 경우 다음 명령어를 실행합니다.

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        다음을 바꿉니다.

        • JOIN_DOMAIN_USER은 도메인에 가입하는 데 사용되는 사용자 계정의 이름입니다.
        • MANAGED_AD_DOMAIN_NAME은 사용하려는 관리형 Microsoft AD 서비스의 도메인 이름입니다.

      • 호스트 이름 길이가 15자(영문 기준)를 초과하는 VM의 경우 다음 명령어를 실행합니다.

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        다음을 바꿉니다.

        • JOIN_DOMAIN_USER은 도메인에 가입하는 데 사용되는 사용자 계정의 이름입니다.
        • MANAGED_AD_REALM_NAME은 사용하려는 관리형 Microsoft AD 서비스의 리전 이름입니다.
        • MANAGED_AD_DOMAIN_NAME은 사용하려는 관리형 Microsoft AD 서비스의 도메인 이름입니다.

  3. Kerberos 구성을 업데이트합니다. 필요한 영역 정의 및 영역-도메인 매핑으로 /etc/krb5.conf를 업데이트합니다.

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    다음을 바꿉니다.

    • DOMAIN_NAME는 사용할 도메인 이름으로, 대문자로 입력합니다.
    • domain_name_lowercase는 사용할 도메인 이름으로, 소문자로 입력합니다.

    예를 보려면 다음을 참고하세요.

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. rpc-gssd 서비스를 실행합니다. /etc/idmapd.conf 내의 [General] 섹션에 다음 No-Strip 속성 값을 추가합니다.

     [General]
 No-Strip = both

  5. 다음 명령어를 실행합니다.

    sudo systemctl restart rpc-gssd

Centos 이미지

  1. Compute Engine 인스턴스에 SSH로 연결합니다.

  2. 관리형 Microsoft AD 도메인에 가입합니다.

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. 다음 단계 중 하나를 완료합니다.

    • 호스트 이름 길이가 15자(영문 기준) 이하인 VM의 경우 다음 명령어를 실행합니다.

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      다음을 바꿉니다.

      • JOIN_DOMAIN_USER은 도메인에 가입하는 데 사용되는 사용자 계정의 이름입니다.
      • MANAGED_AD_DOMAIN_NAME은 사용하려는 관리형 Microsoft AD 서비스의 도메인 이름입니다.

    • 호스트 이름 길이가 15자(영문 기준)를 초과하는 VM의 경우 다음 명령어를 실행합니다.

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      다음을 바꿉니다.

      • JOIN_DOMAIN_USER은 도메인에 가입하는 데 사용되는 사용자 계정의 이름입니다.
      • MANAGED_AD_REALM_NAME은 사용하려는 관리형 Microsoft AD 서비스의 리전 이름입니다.
      • MANAGED_AD_DOMAIN_NAME은 사용하려는 관리형 Microsoft AD 서비스의 도메인 이름입니다.

  4. sssd 서비스가 실행 중인지 확인합니다.

    sudo systemctl status sssd

  5. rpc-gssd 서비스를 실행합니다. /etc/idmapd.conf 내의 [General] 섹션에 No-Strip 속성 값 아래에 다음을 추가합니다.

    [General]
No-Strip = both

  6. 다음 명령어를 실행합니다. 이 명령어를 사용하면 NFS 클라이언트가 NFS 서버 호스트 이름에서 도메인 이름을 삭제하지 않도록 할 수 있습니다. 자세한 내용은 NFS Ganesha 목록 보관 파일Arch Linux 보관 파일을 참고하세요.

    sudo systemctl start rpc-gssd

Filestore 인스턴스에서 관리형 Microsoft AD 연결 해제 및 다시 연결

Google Cloud 콘솔

Filestore 인스턴스에서 관리형 Microsoft AD 연결 해제

  1. 관리형 Microsoft AD에 연결된 Filestore 인스턴스의 연결을 해제합니다.

    Google Cloud 콘솔에서 Filestore 인스턴스 페이지로 이동합니다.

    Filestore 인스턴스 페이지로 이동

  2. 수정할 인스턴스의 인스턴스 ID를 클릭합니다.

  3. NFS 마운트 지점 창의 프로토콜 아래 디렉터리 서비스 이름 옆에 있는 AD 도메인 연결 해제를 클릭합니다.

  4. 도메인 연결 해제 실패 창에서 알림을 읽은 후 인스턴스 수정을 클릭합니다.

    액세스 제어의 규칙 하나 이상을 sys 마운트 보안 설정(예: Access=Admin Mountsec=sys)을 사용하여 관리자 역할에 매핑해야 합니다.

  5. 공유 수정 창에서 액세스관리자로 설정된 규칙을 찾습니다. 마운트 sec= ...를 클릭하고 sys를 선택하여 기존 설정에 옵션을 추가합니다.

  6. 확인을 클릭합니다.

  7. 저장을 클릭합니다.

  8. 디렉터리 서비스 이름 옆에 있는 AD 도메인 연결 해제를 클릭합니다.

  9. 도메인에서 연결 해제하시겠어요? 창의 입력란에 연결을 해제하려는 도메인의 이름을 입력합니다.

  10. 연결 해제를 클릭합니다.

액세스 규칙 수정

  1. 페이지를 새로고침합니다. 이제 디렉터리 서비스 이름없음으로 설정됩니다.

  2. 수정을 클릭합니다.

  3. 공유 수정 창에서 편집자와 같이 관리자 이외의 역할에 대한 액세스를 설정하는 규칙을 찾습니다. 규칙에서 sec= 마운트 ...를 클릭하고 sys를 선택하여 기존 설정에 추가합니다. 확인을 클릭합니다.

  4. 저장을 클릭합니다.

  5. 페이지를 새로고침합니다.

    규칙 설정이 업데이트됩니다.

관리형 Microsoft AD를 Filestore 인스턴스에 다시 연결

  1. Filestore 인스턴스를 관리형 Microsoft AD에 다시 연결합니다.

    NFS 마운트 지점 창의 프로토콜 아래 디렉터리 서비스 이름 옆에 있는 AD 도메인에 가입을 클릭합니다.

  2. 이 인스턴스를 Active Directory 도메인에 조인 창에서 현재 프로젝트의 도메인 사용을 선택하고 Active Directory 도메인에 조인 메뉴에서 사용할 도메인을 선택합니다.

  3. 컴퓨터 계정 이름 메뉴에 이름을 입력합니다.

  4. 도메인 가입을 클릭합니다.

  5. 페이지를 새로고침합니다. 선택사항에 따라 디렉터리 서비스 이름이 업데이트되었습니다.

  6. 수정을 클릭합니다.

  7. 공유 편집 창에서 모든 관련 규칙에서 sec= 마운트 ...를 클릭하고 sys 선택을 삭제합니다. 확인을 클릭합니다.

  8. 저장을 클릭합니다.

  9. 페이지를 새로고침합니다.

    규칙 설정이 업데이트됩니다.

다음 단계