이 페이지에서는 Google Cloud NetApp Volumes Active Directory 통합을 설명합니다.
통합 정보
Active Directory 정책은 NetApp 볼륨에 Active Directory에 연결하는 방법을 알려줍니다. 스토리지 풀 구성은 Active Directory 정책을 사용하여 스토리지 풀 내에서 생성하는 볼륨의 Active Directory 설정을 정의합니다.
Active Directory 정책은 지역별로 리전당 최대 5개의 정책을 구성할 수 있습니다.
보안 프린시펄을 사용하는 파일 공유 프로토콜(예: SMB(CIFS), 확장 그룹이 있는 NFSv3, NFSv4)은 외부 디렉터리 서비스를 사용하여 사용자 ID 정보를 제공합니다. NetApp Volumes는 디렉터리 서비스에 Active Directory를 사용합니다. Active Directory는 다음과 같은 서비스를 제공합니다.
LDAP 서버: 사용자, 그룹, 머신과 같은 객체를 조회합니다.
DNS 서버: 호스트 이름 확인 및 Active Directory 도메인 컨트롤러 검색
Kerberos 서버: 인증 실행
자세한 내용은 Google Cloud에서 Active Directory 실행 권장사항을 참고하세요.
Active Directory 사용 사례
NetApp Volumes는 다음과 같은 여러 사용 사례에 Active Directory를 사용합니다.
SMB 도메인 서비스: Active Directory는 SMB의 중앙 도메인 서비스입니다. 사용자 및 그룹의 인증 및 ID 조회에 SMB를 사용합니다. NetApp Volumes는 도메인에 구성원으로 가입하지만 워크그룹 모드에서는 SMB를 지원하지 않습니다.
NFSv3 확장 그룹 지원: 확장 그룹 지원이 있는 NFSv3의 경우 Active Directory는 사용자, 그룹, 머신 계정과 같은 객체를 조회하는 데 필요한 LDAP 서버를 제공합니다. 특히 사용자 ID 및 그룹 ID 조회에는
RFC2307bis준수 LDAP 서버가 필요합니다. LDAP 지원은 풀 생성 중에 스토리지 풀에서 사용 설정됩니다.확장 그룹 지원은 NFS 호출에서 NFS 클라이언트가 전송한 모든 그룹 ID를 무시합니다. 대신 요청의 사용자 ID를 가져와 LDAP 서버에서 지정된 사용자 ID의 모든 그룹 ID를 조회하여 파일 권한 확인을 실행합니다.
자세한 내용은 LDAP
RFC2307bisPOSIX 속성 관리를 참고하세요.NFSv4.x 보안 프라이머리 키를 사용자 ID 및 그룹 ID에 매핑: NFSv4.x의 경우 NetApp Volumes는 Active Directory를 사용하여 보안 프라이머리 키를 사용자 ID 및 그룹 ID에 매핑합니다. NFSv4는 사용자 기반 인증 모델을 사용합니다. 주체 기반 인증에서 보안 주체는 사용자 ID 및 그룹 ID 대신
user@dns_domain형식 (RFC 7530보안 고려사항 참고)을 사용하는 사용자를 식별합니다. NFSv4.x 프로토콜로 볼륨에 액세스할 때 보안 사용자를 사용자 ID 및 그룹 ID에 매핑하려면 NetApp 볼륨에RFC2307bis준수 LDAP 서버가 필요합니다. NetApp 볼륨은 Active Directory LDAP 서버만 지원합니다. 풀 생성 중에 스토리지 풀에서 LDAP 지원이 사용 설정됩니다.보안 사용자 인증 정보를 사용하려면 NFS 클라이언트와 서버가 동일한 LDAP 소스에 연결되어야 하며 클라이언트에서
idmapd.conf파일을 구성해야 합니다.idmapd.conf파일을 구성하는 방법에 관한 자세한 내용은libnfsidmap의idmapd.conf파일을 구성하는 방법에 관한 Ubuntu 문서를 참고하세요.dns_domain는 Active Directory 도메인 이름을 사용하고user는 Active Directory 사용자 이름으로 식별됩니다. LDAP POSIX 속성을 설정할 때 이 값을 사용하세요.ID 매핑 없이 NFSv4.1을 사용하고 NFSv3와 유사한 사용자 ID 및 그룹 ID만 사용하려면 숫자 ID를 사용하여 보안 주체를 무시합니다. NetApp Volumes는 숫자 ID를 지원합니다. 현재 NFS 클라이언트는 ID 매핑이 구성되지 않은 경우 기본적으로 숫자 ID를 사용합니다.
Kerberos를 사용하는 NFSv4.x: Kerberos를 사용하는 경우 보안 주 구성원 조회를 위해 Active Directory를 LDAP 서버로 사용해야 합니다. Kerberos 주 구성원은 보안 식별자로 사용됩니다. Kerberos 키 배포 센터는 Active Directory를 사용합니다. 이렇게 하려면 Kerberos 설정이 포함된 Active Directory 정책을 풀에 연결하고 풀을 만들 때 스토리지 풀에서 LDAP 지원을 사용 설정해야 합니다.
Active Directory 머신 계정을 만드는 데 필요한 권한
컴퓨터를 도메인에 조인할 권한이 있는 계정으로 Windows Active Directory에 NetApp 볼륨 머신 객체를 추가할 수 있습니다. 이 그룹은 일반적으로 Domain Admins 그룹이지만 Active Directory에는 전체 도메인 또는 조직 단위 수준에서 개별 사용자 또는 그룹에 필요한 권한을 위임하는 기능이 있습니다.
다음 액세스 권한으로 컴퓨터 객체를 만들고 삭제할 수 있는 맞춤 작업을 만들어 Active Directory의 '관리 위임' 마법사로 이러한 권한을 부여할 수 있습니다.
읽기 및 쓰기
모든 하위 객체 만들기 및 삭제
모든 속성 읽기 및 쓰기
비밀번호 변경 및 재설정 ('도메인 비밀번호 및 잠금 정책 읽기 및 쓰기')
사용자를 위임하면 정의된 사용자의 보안 액세스 제어 목록이 Active Directory의 조직 단위에 추가되고 Active Directory 환경에 대한 액세스가 최소화됩니다. 사용자에게 위임한 후에는 사용자 이름과 비밀번호를 Active Directory 정책 사용자 인증 정보로 제공할 수 있습니다.
보안 강화를 위해 머신 계정 객체 쿼리 및 생성 중에 Active Directory 도메인에 전달되는 사용자 이름과 비밀번호는 Kerberos 암호화를 사용합니다.
Active Directory 도메인 컨트롤러
NetApp Volumes를 도메인에 연결하기 위해 이 서비스는 DNS 기반 검색을 사용하여 사용 가능한 도메인 컨트롤러 목록을 식별합니다.
이 서비스는 다음 단계를 실행하여 사용할 도메인 컨트롤러를 찾습니다.
Active Directory 사이트 검색: NetApp 볼륨은 Active Directory 정책에 지정된 DNS 서버 IP에 대한 LDAP 핑을 사용하여 Active Directory 사이트 서브넷 정보를 가져옵니다. CIDR 목록과 이러한 CIDR에 할당된 Active Directory 사이트를 반환합니다.
Get-ADReplicationSubnet -Filter * | Select-Object Name,Site사이트 이름 정의: 볼륨의 IP 주소가 정의된 서브넷과 일치하는 경우 연결된 사이트 이름이 사용됩니다. 작은 서브넷 일치가 큰 서브넷 일치보다 우선 적용됩니다. 볼륨의 IP 주소를 알 수 없는 경우 NFS 프로토콜 유형으로 임시 볼륨을 수동으로 만들어 사용된
/28CIDR을 확인합니다.Active Directory에 사이트 이름이 정의되어 있지 않으면 Active Directory 정책에 구성된 사이트 이름이 사용됩니다. 사이트 이름이 구성되지 않은 경우 표준, 프리미엄, 익스트림 서비스 수준은
Default-First-Site-Name사이트를 사용합니다. Flex 서비스 수준에서Default-First-Site-Name사이트를 사용하려고 하면 실패하고 대신 Flex 서비스 수준에서 전체 도메인 컨트롤러 검색을 사용합니다. Flex 서비스 수준 스토리지 풀에서는 Active Directory 사이트 매개변수 변경사항이 무시됩니다.도메인 컨트롤러 검색: 필요한 모든 정보를 획득한 후 서비스는 다음 DNS 쿼리를 사용하여 잠재적인 도메인 컨트롤러를 식별합니다.
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>전체 도메인 검색의 경우 서비스는 다음 DNS 쿼리를 사용합니다.
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>도메인 컨트롤러 목록 생성: 도메인 컨트롤러 목록이 생성됩니다. NetApp 볼륨은 이러한 모든 볼륨의 가용성을 지속적으로 모니터링합니다. 사용 가능한 도메인 컨트롤러 중에서 도메인 조인 및 조회용으로 하나를 선택합니다. 선택한 도메인 컨트롤러가 사라지면 사용 가능 목록의 다른 도메인 컨트롤러가 자동으로 사용됩니다. 선택한 도메인 컨트롤러가 지정된 DNS 서버일 필요는 없습니다.
서비스에서 사용할 수 있는 도메인 컨트롤러를 하나 이상 제공해야 합니다. 도메인 컨트롤러 가용성을 높이려면 여러 개를 사용하는 것이 좋습니다. NetApp 볼륨과 도메인 컨트롤러 간에 라우팅된 네트워크 경로가 있고 도메인 컨트롤러의 방화벽 규칙에서 NetApp 볼륨의 연결을 허용하는지 확인합니다.
자세한 내용은 Active Directory 설계 고려사항 및 권장사항을 참고하세요.
Active Directory 도메인 컨트롤러 토폴로지
Active Directory 도메인 컨트롤러에 연결하면 다음과 같은 파일 공유 프로토콜을 사용할 수 있습니다.
SMB
확장된 그룹이 있는 NFSv3
보안 주체 및 Kerberos를 사용하는 NFSv4
다음 시나리오에서는 가능한 토폴로지를 설명합니다. 이 시나리오에서는 NetApp Volumes에서 사용하는 도메인 컨트롤러만 설명합니다. 동일한 도메인의 다른 도메인 컨트롤러는 필요한 경우에만 설명됩니다. 중복성과 가용성을 위해 도메인 컨트롤러를 2대 이상 배포하는 것이 좋습니다.
하나의 리전에 있는 Active Directory 도메인 컨트롤러 및 볼륨: 이 시나리오는 도메인 컨트롤러가 볼륨과 동일한 리전에 있는 가장 간단한 배포 전략입니다.
서로 다른 리전에 있는 Active Directory 도메인 컨트롤러 및 볼륨: 볼륨과 다른 리전의 도메인 컨트롤러를 사용할 수 있습니다. 이로 인해 인증 및 파일 액세스 성능에 부정적인 영향을 미칠 수 있습니다.
AD 사이트를 사용하는 여러 지역의 Active Directory 도메인 컨트롤러: 여러 지역에서 볼륨을 사용하는 경우 각 지역에 도메인 컨트롤러를 하나 이상 배치하는 것이 좋습니다. 서비스는 자동으로 사용할 최적의 도메인 컨트롤러를 선택하려고 하지만 Active Directory 사이트로 도메인 컨트롤러 선택을 관리하는 것이 좋습니다.
온프레미스 네트워크의 Active Directory 도메인 컨트롤러: VPN을 통해 온프레미스 도메인 컨트롤러를 사용할 수 있지만, 이는 최종 사용자 인증 및 파일 액세스 성능에 부정적인 영향을 미칠 수 있습니다. 네트워크 경로에 Virtual Private Cloud 피어링 홉을 추가하지 마세요. VPC 피어링에는 전이 라우팅 제한사항이 적용됩니다. NetApp Volumes에서 이미 사용하는 VPC 피어링 홉을 넘어 트래픽이 라우팅되지 않습니다.
다른 VPC 네트워크의 Active Directory 도메인 컨트롤러:Google Cloud VPC 피어링은 전이 라우팅을 허용하지 않으므로 도메인 컨트롤러를 다른 VPC에 배치할 수 없습니다. 또는 VPN을 사용하여 VPC를 연결하거나 NetApp 볼륨을 Active Directory 도메인 컨트롤러를 호스팅하는 공유 VPC 네트워크에 연결할 수 있습니다. NetApp 볼륨을 공유 VPC 네트워크에 연결하면 아키텍처 측면에서 이 시나리오는 이전 섹션의 시나리오 중 하나와 동일해집니다.