本頁面說明 Google Cloud NetApp Volumes Active Directory 整合。
關於這項整合
Active Directory 政策會告知 NetApp Volumes 如何連線至 Active Directory。儲存空間集區設定會使用 Active Directory 政策,定義您在集區內建立的磁碟區的 Active Directory 設定。
Active Directory 政策是區域專用政策,每個區域最多可設定五項政策。
使用安全主體的檔案共用通訊協定 (例如 SMB (CIFS)、具有擴充群組的 NFSv3 和 NFSv4) 會依賴外部目錄服務提供使用者身分資訊。NetApp Volumes 依賴 Active Directory 提供目錄服務。Active Directory 提供下列服務:
LDAP 伺服器:查詢使用者、群組或機器等物件
DNS 伺服器:解析主機名稱,並探索 Active Directory 網域控制站
Kerberos 伺服器:執行驗證
詳情請參閱「在 Google Cloud 上執行 Active Directory 的最佳做法 Google Cloud」。
Active Directory 的用途
NetApp Volumes 會在下列幾種情況使用 Active Directory:
SMB 網域服務:Active Directory 是 SMB 的中央網域服務。並使用 SMB 進行使用者和群組的驗證和身分查閱。 NetApp Volumes 會以成員身分加入網域,但工作群組模式不支援 SMB。
NFSv3 擴充群組支援:對於支援擴充群組的 NFSv3,Active Directory 會提供 LDAP 伺服器,用於查詢使用者、群組或電腦帳戶等物件。具體來說,使用者 ID 和群組 ID 查詢作業需要符合
RFC2307bis規範的 LDAP 伺服器。建立集區時,系統會啟用儲存空間集區的 LDAP 支援。擴充群組支援會忽略 NFS 用戶端在 NFS 呼叫中傳送的所有群組 ID。而是會擷取要求的使用者 ID,並從 LDAP 伺服器查閱指定使用者 ID 的所有群組 ID,以進行檔案權限檢查。
詳情請參閱「管理 LDAP
RFC2307bisPOSIX 屬性」。NFSv4.x 安全性主體對應至使用者 ID 和群組 ID:對於 NFSv4.x,NetApp Volumes 會使用 Active Directory 將安全性主體對應至使用者 ID 和群組 ID。NFSv4 採用以主體為基礎的驗證模型。 在主體式驗證中,安全性主體會識別使用者,並採用
user@dns_domain形式 (請參閱RFC 7530安全性考量),而非使用者 ID 和群組 ID。透過 NFSv4.x 通訊協定存取磁碟區時,如要將安全主體對應至使用者 ID 和群組 ID,NetApp Volumes 必須使用符合RFC2307bis規範的 LDAP 伺服器。NetApp Volumes 僅支援 Active Directory LDAP 伺服器。建立集區時,系統會在儲存空間集區上啟用 LDAP 支援。如要使用安全主體,NFS 用戶端和伺服器必須連線至相同的 LDAP 來源,且您必須在用戶端設定
idmapd.conf檔案。如要進一步瞭解如何設定idmapd.conf檔案,請參閱 Ubuntu 說明文件,瞭解如何為libnfsidmap設定idmapd.conf檔案。dns_domain會使用 Active Directory 網域名稱,而user會識別為 Active Directory 使用者名稱。設定 LDAP POSIX 屬性時,請使用這些值。如要使用 NFSv4.1,但不進行 ID 對應,且只使用類似 NFSv3 的使用者 ID 和群組 ID,請使用數值 ID 忽略安全性主體。NetApp Volumes 支援數字 ID。如果未設定 ID 對應,目前的 NFS 用戶端預設會使用數字 ID。
使用 Kerberos 的 NFSv4.x:如果您使用 Kerberos,就必須將 Active Directory 做為 LDAP 伺服器,用於安全主體查詢。Kerberos 主體會做為安全 ID。Kerberos 金鑰分配中心會使用 Active Directory。如要啟用這項功能,您必須將含有 Kerberos 設定的 Active Directory 政策附加至集區,並在建立集區時啟用儲存空間集區的 LDAP 支援。
建立 Active Directory 電腦帳戶所需的權限
如要使用 Active Directory,NetApp Volumes 必須將一或多個虛擬檔案伺服器以電腦帳戶的形式加入網域。如要加入網域,您必須提供有權將電腦加入網域的網域使用者憑證。根據預設,只有 Domain Admins 群組成員可以將電腦加入網域,但 Active Directory 能夠將必要權限委派給完整網域或機構單位 (OU) 層級的個別使用者或群組。
如果是 NetApp Volumes,建議您建立專屬的網域服務帳戶。只將加入新電腦的必要權限委派給特定機構單位。建立具有 Domain User 或 Domain Guest 群組成員資格的使用者後,請按照下列操作說明委派必要權限。
以 Active Directory 網域的網域管理員身分登入系統。
開啟「Active Directory 使用者和電腦」MMC 嵌入式管理單元。
選取選單列中的「檢視」,並確認已啟用「進階功能」。
如果啟用「進階功能」,就會顯示勾號。
在工作窗格中,展開網域節點。
找出要修改的 OU,按一下滑鼠右鍵,然後從內容選單中選取「內容」。
在「OU properties」(OU 屬性) 視窗中,選取「Security」(安全性) 分頁標籤。
在「安全性」下方,依序點選「進階」和「新增」。
在「權限項目」對話方塊中,完成下列步驟:
按一下「選取主體」。
輸入服務帳戶或群組名稱,然後按一下「確定」。
在「適用於」中,選取「這個物件和所有子代物件」。
請確認已選取下列權限:
修改權限
建立電腦物件
刪除電腦物件
勾選「套用」核取方塊,然後按一下「確定」。
關閉「Active Directory 使用者和電腦」MMC 嵌入式管理單元。
委派服務帳戶後,您就可以提供使用者名稱和密碼做為 Active Directory 政策憑證。
為提升安全性,在查詢及建立機器帳戶物件時,傳遞至 Active Directory 網域的使用者名稱和密碼會採用 Kerberos 加密。
Active Directory 網域控制站
如要將 NetApp Volumes 連線至網域,這項服務會使用 DNS 探索功能,找出可用的網域控制器清單。
這項服務會執行下列步驟,找出要使用的網域控制站:
Active Directory 站台探索:NetApp Volumes 會使用 LDAP ping,向 Active Directory 政策中指定的 DNS 伺服器 IP 擷取 Active Directory 站台子網路資訊。並傳回 CIDR 清單,以及指派給這些 CIDR 的 Active Directory 網站。
Get-ADReplicationSubnet -Filter * | Select-Object Name,Site定義網站名稱:如果磁碟區的 IP 位址符合任何已定義的子網路,系統就會使用相關聯的網站名稱。如果子網路較小,系統會優先採用。如果不知道磁碟區的 IP 位址,請手動建立暫時磁碟區,並使用 NFS 通訊協定類型,判斷使用的
/28CIDR。如果 Active Directory 中未定義網站名稱,系統會使用 Active Directory 政策中設定的網站名稱。如果未設定網站名稱,Standard、Premium 和 Extreme 服務等級會使用
Default-First-Site-Name網站。如果 Flex 服務層級嘗試使用該Default-First-Site-Name網站,就會失敗,並改用完整的網域控制站探索功能。請注意,Flex 服務等級的儲存空間集區會忽略 Active Directory 網站參數的變更。網域控制器探索:取得所有必要資訊後,服務會使用下列 DNS 查詢,找出潛在的網域控制器:
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>如要進行完整網域探索,服務會使用下列 DNS 查詢:
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>產生網域控制站清單:系統會產生網域控制站清單。NetApp Volumes 會持續監控所有磁碟區的可用性。系統會從可用的網域控制站中選取一個,用於加入網域和查詢。如果選取的網域控制站消失,系統會自動使用「可用」清單中的另一個網域控制站。請注意,您選擇的網域控制器不一定是指定的 DNS 伺服器。
您必須提供至少一個可供服務使用的網域控制站。建議您使用多個網域控制器,提高可用性。請確認 NetApp Volumes 和網域控制站之間有路由網路路徑,且網域控制站的防火牆規則允許 NetApp Volumes 連線。
詳情請參閱「Active Directory 設計考量事項和最佳做法」。
Active Directory 網域控制站拓撲
成功連線至 Active Directory 網域控制器後,您可以使用下列檔案共用通訊協定:
SMB
使用擴充群組的 NFSv3
使用安全主體和 Kerberos 的 NFSv4
以下情境說明可能的拓樸。這些情境僅說明 NetApp Volumes 使用的網域控制站。只有在必要時,才會說明相同網域的其他網域控制站。建議您至少部署兩個網域控制站,以確保備援和可用性。
單一區域中的 Active Directory 網域控制器和磁碟區:這是最簡單的部署策略,網域控制器與磁碟區位於同一區域。
Active Directory 網域控制器和磁碟區位於不同區域:您可以使用與磁碟區不同區域的網域控制器。這可能會對驗證和檔案存取效能造成負面影響。
使用 AD 站台的多個區域中的 Active Directory 網域控制器:如果您在多個區域使用磁碟區,建議您在每個區域至少放置一個網域控制器。服務會自動選擇要使用的最佳網域控制器,但我們建議您使用 Active Directory 網站管理網域控制器選取作業。
內部部署網路中的 Active Directory 網域控制站:您可以透過 VPN 使用內部部署網域控制站,但這可能會對使用者驗證和檔案存取效能造成負面影響。請務必不要在網路路徑中新增其他虛擬私有雲對等互連躍點。虛擬私有雲對等互連受遞移性路由限制。流量不會轉送至 NetApp Volumes 已耗用的虛擬私有雲對等互連躍點以外的位置。
位於不同虛擬私有雲網路的 Active Directory 網域控制器:您無法將網域控制器放在不同的虛擬私有雲中,因為Google Cloud 虛擬私有雲對等互連不允許傳遞路徑。或者,您可以使用 VPN 連線虛擬私有雲,或將 NetApp Volumes 附加至裝載 Active Directory 網域控制站的共用虛擬私有雲網路。如果將 NetApp Volumes 連結至共用 VPC 網路,從架構上來看,這個情境與前幾節中的情境相同。