이 페이지에서는 Google Cloud NetApp Volumes Active Directory 통합에 대해 설명합니다.
통합 정보
Active Directory 정책은 NetApp Volumes가 Active Directory에 연결하는 방법을 알려줍니다. 스토리지 풀 구성은 Active Directory 정책을 사용하여 스토리지 풀 내에서 생성하는 볼륨의 Active Directory 설정을 정의합니다.
Active Directory 정책은 리전별로 적용되며 리전당 최대 5개의 정책을 구성할 수 있습니다.
보안 주체를 사용하는 파일 공유 프로토콜(예: SMB(CIFS), 확장 그룹이 있는 NFSv3, NFSv4)은 사용자 ID 정보를 제공하기 위해 외부 디렉터리 서비스를 사용합니다. NetApp Volumes는 디렉터리 서비스에 Active Directory를 사용합니다. Active Directory는 다음 서비스를 제공합니다.
LDAP 서버: 사용자, 그룹, 머신과 같은 객체 조회
DNS 서버: 호스트 이름 확인 및 Active Directory 도메인 컨트롤러 검색
Kerberos 서버: 인증 실행
자세한 내용은 Google Cloud에서 Active Directory를 실행하기 위한 권장사항을 참고하세요.
Active Directory 사용 사례
NetApp Volumes는 다음과 같은 여러 사용 사례에 Active Directory를 사용합니다.
SMB 도메인 서비스: Active Directory는 SMB의 중앙 도메인 서비스입니다. 사용자 및 그룹의 인증 및 ID 조회를 위해 SMB를 사용합니다. NetApp Volumes는 도메인에 구성원으로 가입하지만 워크그룹 모드에서 SMB를 지원하지 않습니다.
NFSv3 확장 그룹 지원: 확장 그룹 지원이 있는 NFSv3의 경우 Active Directory는 사용자, 그룹 또는 머신 계정과 같은 객체를 조회하는 데 필요한 LDAP 서버를 제공합니다. 특히 사용자 ID 및 그룹 ID 조회를 위해서는
RFC2307bis규격 LDAP 서버가 필요합니다. LDAP 지원은 풀 생성 중에 스토리지 풀에서 사용 설정됩니다.확장 그룹 지원은 NFS 호출에서 NFS 클라이언트가 전송한 모든 그룹 ID를 무시합니다. 대신 요청의 사용자 ID를 가져와 LDAP 서버에서 지정된 사용자 ID의 모든 그룹 ID를 조회하여 파일 권한 검사를 실행합니다.
자세한 내용은 LDAP
RFC2307bisPOSIX 속성 관리를 참고하세요.NFSv4.x 보안 주체와 사용자 ID 및 그룹 ID 간 매핑: NFSv4.x의 경우 NetApp Volumes는 Active Directory를 사용하여 보안 주체를 사용자 ID 및 그룹 ID에 매핑합니다. NFSv4는 주체 기반 인증 모델을 사용합니다. 주체 기반 인증에서 보안 주체는 사용자 ID 및 그룹 ID 대신
user@dns_domain형식 (RFC 7530보안 고려사항 참고)을 취하는 사용자를 식별합니다. NFSv4.x 프로토콜로 볼륨에 액세스할 때 보안 주체를 사용자 ID 및 그룹 ID에 매핑하려면 NetApp Volumes에RFC2307bis규격 LDAP 서버가 필요합니다. NetApp 볼륨은 Active Directory LDAP 서버만 지원합니다. LDAP 지원은 풀 생성 중에 스토리지 풀에서 사용 설정됩니다.보안 주체를 사용하려면 NFS 클라이언트와 서버가 동일한 LDAP 소스에 연결되어야 하며 클라이언트에서
idmapd.conf파일을 구성해야 합니다.idmapd.conf파일 구성 방법에 관한 자세한 내용은libnfsidmap용idmapd.conf파일 구성 방법에 관한 Ubuntu 문서를 참고하세요.dns_domain는 Active Directory 도메인 이름을 사용하고user는 Active Directory 사용자의 이름으로 식별됩니다. LDAP POSIX 속성을 설정할 때 이러한 값을 사용하세요.ID 매핑 없이 NFSv4.1을 사용하고 NFSv3와 유사한 사용자 ID와 그룹 ID만 사용하려면 숫자 ID를 사용하여 보안 주체를 무시하세요. NetApp Volumes는 숫자 ID를 지원합니다. 현재 NFS 클라이언트는 ID 매핑이 구성되지 않은 경우 기본적으로 숫자 ID를 사용합니다.
Kerberos를 사용하는 NFSv4.x: Kerberos를 사용하는 경우 보안 주 구성원 조회를 위한 LDAP 서버로 Active Directory를 사용해야 합니다. Kerberos 주 구성원은 보안 식별자로 사용됩니다. Kerberos 키 배포 센터는 Active Directory를 사용합니다. 이렇게 하려면 풀을 만들 때 Kerberos 설정이 포함된 Active Directory 정책을 풀에 연결하고 스토리지 풀에서 LDAP 지원을 사용 설정해야 합니다.
Active Directory 머신 계정을 만드는 데 필요한 권한
Active Directory를 사용하려면 NetApp 볼륨이 하나 이상의 가상 파일 서버를 컴퓨터 계정으로 도메인에 조인해야 합니다. 도메인에 가입하려면 컴퓨터를 도메인에 가입시킬 권한이 있는 도메인 사용자의 사용자 인증 정보를 제공해야 합니다. 기본적으로 Domain Admins 그룹 구성원만 컴퓨터를 도메인에 조인할 수 있지만 Active Directory에는 전체 도메인 또는 조직 단위 (OU) 수준에서 개별 사용자 또는 그룹에 필요한 권한을 위임하는 기능이 있습니다.
NetApp 볼륨의 경우 전용 도메인 서비스 계정을 만드는 것이 좋습니다. 새 컴퓨터를 특정 OU에 조인하는 데 필요한 권한만 위임합니다. Domain User 또는 Domain Guest 그룹 구성원 자격이 있는 사용자가 생성되면 다음 안내에 따라 필요한 권한을 위임합니다.
Active Directory 도메인의 도메인 관리자로 시스템에 로그인합니다.
Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다.
메뉴 바에서 보기를 선택하고 고급 기능이 사용 설정되어 있는지 확인합니다.
고급 기능이 사용 설정된 경우 체크표시가 표시됩니다.
작업 창에서 도메인 노드를 펼칩니다.
수정하려는 OU를 찾아 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 속성을 선택합니다.
OU 속성 창에서 보안 탭을 선택합니다.
보안에서 고급을 클릭한 다음 추가를 클릭합니다.
권한 항목 대화상자에서 다음 단계를 완료합니다.
주 구성원 선택을 클릭합니다.
서비스 계정 또는 그룹의 이름을 입력하고 확인을 클릭합니다.
적용 대상:에서 이 객체 및 모든 하위 객체를 선택합니다.
다음 권한이 선택되어 있는지 확인합니다.
권한 수정
컴퓨터 객체 만들기
컴퓨터 객체 삭제
적용 체크박스를 선택한 다음 확인을 클릭합니다.
Active Directory 사용자 및 컴퓨터 MMC 스냅인을 닫습니다.
서비스 계정이 위임된 후 사용자 이름과 비밀번호를 Active Directory 정책 사용자 인증 정보로 제공할 수 있습니다.
보안을 강화하기 위해 머신 계정 객체 쿼리 및 생성 중에 Active Directory 도메인에 전달되는 사용자 이름과 비밀번호는 Kerberos 암호화를 사용합니다.
Active Directory 도메인 컨트롤러
NetApp Volumes를 도메인에 연결하기 위해 서비스는 DNS 기반 검색을 사용하여 사용할 수 있는 도메인 컨트롤러 목록을 식별합니다.
서비스는 다음 단계를 실행하여 사용할 도메인 컨트롤러를 찾습니다.
Active Directory 사이트 검색: NetApp Volumes는 Active Directory 정책에 지정된 DNS 서버 IP에 대한 LDAP 핑을 사용하여 Active Directory 사이트 서브넷 정보를 가져옵니다. CIDR 목록과 해당 CIDR에 할당된 Active Directory 사이트를 반환합니다.
Get-ADReplicationSubnet -Filter * | Select-Object Name,Site사이트 이름 정의: 볼륨의 IP 주소가 정의된 서브넷과 일치하면 연결된 사이트 이름이 사용됩니다. 더 작은 서브넷 일치가 더 큰 서브넷 일치보다 우선합니다. 볼륨의 IP 주소를 알 수 없는 경우 NFS 프로토콜 유형으로
/28CIDR을 확인하기 위해 임시 볼륨을 수동으로 만듭니다.Active Directory에 사이트 이름이 정의되어 있지 않으면 Active Directory 정책에 구성된 사이트 이름이 사용됩니다. 사이트 이름이 구성되지 않은 경우 표준, 프리미엄, 익스트림 서비스 수준은
Default-First-Site-Name사이트를 사용합니다. Flex 서비스 수준이Default-First-Site-Name사이트를 사용하려고 하면 실패하고 Flex 서비스 수준은 대신 전체 도메인 컨트롤러 검색을 사용합니다. Active Directory 사이트 매개변수 변경사항은 Flex 서비스 수준 스토리지 풀에서 무시됩니다.도메인 컨트롤러 검색: 필요한 모든 정보를 획득한 서비스는 다음 DNS 쿼리를 사용하여 잠재적 도메인 컨트롤러를 식별합니다.
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>전체 도메인 검색의 경우 서비스는 다음 DNS 쿼리를 사용합니다.
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>도메인 컨트롤러 목록 생성: 도메인 컨트롤러 목록이 생성됩니다. NetApp Volumes는 모든 볼륨의 가용성을 지속적으로 모니터링합니다. 사용 가능한 도메인 컨트롤러 중에서 도메인 가입 및 조회를 위해 하나를 선택합니다. 선택한 도메인 컨트롤러가 사라지면 사용 가능 목록의 다른 도메인 컨트롤러가 자동으로 사용됩니다. 선택한 도메인 컨트롤러가 지정된 DNS 서버가 아닐 수도 있습니다.
서비스에서 사용할 수 있는 액세스 가능한 도메인 컨트롤러를 하나 이상 제공해야 합니다. 도메인 컨트롤러 가용성을 높이기 위해 여러 개를 사용하는 것이 좋습니다. NetApp Volumes와 도메인 컨트롤러 사이에 라우팅된 네트워크 경로가 있고 도메인 컨트롤러의 방화벽 규칙이 NetApp Volumes의 연결을 허용하는지 확인합니다.
자세한 내용은 Active Directory 설계 고려사항 및 권장사항을 참고하세요.
Active Directory 도메인 컨트롤러 토폴로지
Active Directory 도메인 컨트롤러에 성공적으로 연결되면 다음 파일 공유 프로토콜을 사용할 수 있습니다.
SMB
확장된 그룹이 있는 NFSv3
보안 주체 및 Kerberos를 사용하는 NFSv4
다음 시나리오에서는 잠재적인 토폴로지를 설명합니다. 시나리오에서는 NetApp Volumes에서 사용하는 도메인 컨트롤러만 설명합니다. 동일한 도메인의 다른 도메인 컨트롤러는 필요한 경우에만 설명됩니다. 중복성과 가용성을 위해 도메인 컨트롤러를 2개 이상 배포하는 것이 좋습니다.
한 리전의 Active Directory 도메인 컨트롤러 및 볼륨: 이 시나리오는 도메인 컨트롤러가 볼륨과 동일한 리전에 있는 가장 간단한 배포 전략입니다.
별도의 리전에 있는 Active Directory 도메인 컨트롤러 및 볼륨: 볼륨과 다른 리전의 도메인 컨트롤러를 사용할 수 있습니다. 이 경우 인증 및 파일 액세스 성능에 부정적인 영향을 미칠 수 있습니다.
AD 사이트를 사용하는 여러 리전의 Active Directory 도메인 컨트롤러: 여러 리전에서 볼륨을 사용하는 경우 각 리전에 하나 이상의 도메인 컨트롤러를 배치하는 것이 좋습니다. 서비스에서 사용할 최적의 도메인 컨트롤러를 자동으로 선택하려고 하지만 Active Directory 사이트를 사용하여 도메인 컨트롤러 선택을 관리하는 것이 좋습니다.
온프레미스 네트워크의 Active Directory 도메인 컨트롤러: VPN을 통해 온프레미스 도메인 컨트롤러를 사용할 수 있지만 최종 사용자 인증 및 파일 액세스 성능에 부정적인 영향을 미칠 수 있습니다. 네트워크 경로에 추가 가상 프라이빗 클라우드 피어링 홉을 추가하지 마세요. VPC 피어링에는 전환 라우팅 제한이 적용됩니다. 트래픽은 NetApp Volumes에서 이미 사용하는 VPC 피어링 홉을 넘어 라우팅되지 않습니다.
다른 VPC 네트워크의 Active Directory 도메인 컨트롤러:Google Cloud VPC 피어링은 전환 라우팅을 허용하지 않으므로 도메인 컨트롤러를 다른 VPC에 배치할 수 없습니다. 또는 VPN을 사용하여 VPC를 연결하거나 Active Directory 도메인 컨트롤러를 호스팅하는 공유 VPC 네트워크에 NetApp Volumes를 연결할 수 있습니다. NetApp Volumes를 공유 VPC 네트워크에 연결하면 아키텍처상 이 시나리오가 이전 섹션의 시나리오 중 하나와 동일해집니다.