Créer une instance Filestore avec un service Microsoft AD géré

Créez une instance Filestore qui utilise le protocole NFSv4.1 avec Managed Microsoft AD.

Avant de commencer

Avant de créer une instance Filestore, assurez-vous de disposer d'un quota suffisant. Les quotas d'instances varient en fonction de la région et du niveau de service que vous souhaitez utiliser. Pour augmenter le quota disponible, vous devez envoyer une demande d'augmentation de quota.

Créer le domaine Microsoft AD géré

Si vous souhaitez utiliser Managed Microsoft AD avec une instance Filestore, le domaine Managed Microsoft AD doit être créé avant l'instance Filestore.

  1. Le domaine Managed Microsoft AD et l'instance Filestore doivent utiliser le même VPC dans le même projet.

    Si votre service Microsoft AD géré est hébergé dans un projet distinct de l'instance Filestore que vous souhaitez utiliser, le réseau VPC Filestore doit être appairé au domaine Microsoft AD géré.

    Pour en savoir plus, consultez Déployer Managed Microsoft AD avec un accès multiprojet à l'aide du peering de domaine.

  2. Suivez toutes les étapes de configuration pour créer une instance Filestore.

  3. Assurez-vous que les champs POSIX RFC 2307 et RFC 2307bis des utilisateurs Managed Microsoft AD sont renseignés, comme suit.

    Pour savoir comment configurer des objets dans Microsoft AD géré, consultez Objets Active Directory gérés.

    Utilisateurs et ordinateurs Active Directory

    Les étapes suivantes décrivent les attributs que vous devez définir pour les utilisateurs et les groupes LDAP. Vous pouvez gérer les attributs POSIX à l'aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.

    Ouvrez l'éditeur d'attributs comme suit :

    1. Cliquez sur Démarrer.

    2. Cliquez sur Outils d'administration Windows, puis sélectionnez Utilisateurs et ordinateurs Active Directory.

      La fenêtre Utilisateurs et ordinateurs Active Directory s'ouvre.

    3. Sélectionnez le nom de domaine que vous souhaitez afficher. Pour développer son contenu, cliquez sur la flèche de développement .

    4. Dans le menu Affichage d'Utilisateurs et ordinateurs Active Directory, sélectionnez Fonctionnalités avancées.

    5. Dans le volet de gauche, double-cliquez sur Utilisateurs.

    6. Dans la liste des utilisateurs, double-cliquez sur un utilisateur pour afficher l'onglet Éditeur d'attributs.

      Les utilisateurs LDAP doivent avoir les attributs suivants définis :

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Chaque utilisateur doit disposer d'un uidNumber unique. Notez que la valeur de l'attribut uid est sensible à la casse. Pour l'attribut objectClass, user est le paramètre par défaut dans la plupart des déploiements Active Directory (AD). En voici un exemple :

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Les groupes LDAP doivent avoir les attributs suivants définis :

      • cn
      • gidNumber
      • objectClass

      Chaque groupe doit avoir un gidNumber unique. Notez que la valeur de l'attribut cn est sensible à la casse. Pour l'attribut objectClass, group est le paramètre par défaut dans la plupart des déploiements AD. Voici un exemple :

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Accordez à Filestore l'autorisation de créer et de gérer des objets dans le service Microsoft AD géré à l'aide de la commande gcloud projects add-iam-policy-binding :

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Remplacez les éléments suivants :

    • MANAGED_MICROSOFT_AD_PROJECT_ID est l'ID du projet dans lequel se trouve le domaine Microsoft AD géré.
    • PROJECT_ID est l'ID du projet dans lequel se trouve l'instance Filestore.

    Un message d'erreur semblable à celui-ci peut s'afficher :

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Si c'est le cas, exécutez la commande suivante pour résoudre le problème :

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Créer une instance Filestore avec Managed Microsoft AD

Console Google Cloud

Configurer les paramètres de l'instance

  1. Dans la console Google Cloud , accédez à la page "Instances Filestore".

    Accéder à la page des instances Filestore

  2. Cliquez sur Créer une instance.

  3. Spécifiez les paramètres de base de l'instance :

    1. Dans le champ ID d'instance, saisissez le nom que vous souhaitez utiliser pour l'instance Filestore.

    2. Dans Type d'instance, sélectionnez Régional ou Zonal.

      Pour créer une instance Enterprise, vous devez exécuter des opérations directement via l'API Filestore.

    3. Dans Capacité allouée, saisissez la capacité que vous souhaitez utiliser. Vous devez saisir une valeur comprise entre 1 To et 10 To, par incréments de 256 Gio (0,25 Tio).

    4. Dans Région, sélectionnez la région que vous souhaitez utiliser.

    5. Dans Réseau VPC, sélectionnez le réseau que vous souhaitez utiliser pour l'instance Filestore et les clients NFS.

      • Si le service Microsoft AD géré se trouve dans le même projet que l'instance Filestore, le réseau VPC doit être autorisé dans le domaine Microsoft AD géré.
      • Si Microsoft AD géré se trouve dans un projet distinct, le réseau VPC doit être configuré avec l'appairage de réseau Active Directory dans la configuration Microsoft AD géré.

    6. Dans Plage d'adresses IP allouée, sélectionnez Utiliser une plage d'adresses IP automatiquement allouée (recommandé).

    7. Dans Protocole, sélectionnez NFSv4.1.

Configurer les paramètres d'authentification de l'instance

  1. Configurez les paramètres d'authentification de l'instance.
    1. Cliquez sur Authentification.
    2. Sélectionnez le projet hébergeant Managed Microsoft AD. Dans le cadre de ce guide, nous supposerons que le projet actuel est celui que nous souhaitons utiliser. Dans la liste Rejoindre un domaine Active Directory, sélectionnez le domaine Managed Microsoft AD que vous souhaitez utiliser.
    3. Dans le champ Nom du compte de l'ordinateur, saisissez le nom du compte de l'ordinateur que vous souhaitez utiliser pour identifier l'instance Filestore dans le domaine Managed Microsoft AD. Le nom est limité à 15 caractères alphanumériques.
    4. Dans le champ Nom du partage de fichiers, saisissez le nom du partage tel qu'il sera utilisé par les clients NFSv4.1.

  2. Dans le volet Contrôle des accès, procédez comme suit :

    • Si vous utilisez Managed Microsoft AD, sélectionnez Limiter l'accès par adresse IP ou plage d'adresses.

      1. Définissez la règle d'accès par adresse IP ou sous-réseau. Pour les besoins de ce guide, utilisez les paramètres suivants :
      2. Dans le champ Adresse ou plage d'adresses IP 1, saisissez l'adresse ou la plage d'adresses IP que vous souhaitez utiliser.
      3. Cliquez sur la liste déroulante Accès 1, puis sélectionnez Administrateur. Cliquez sur la liste déroulante Mountsec= 1, puis cochez la case sys.

      Le propriétaire / par défaut de Filestore est root. Pour autoriser d'autres utilisateurs et groupes à accéder à l'instance, vous devez créer une règle d'accès qui autorise l'accès à la VM de gestion à l'aide du rôle Admin et du paramètre de sécurité sec=sys.

    • Si vous n'utilisez pas Managed Microsoft AD, sélectionnez Accorder l'accès à tous les clients sur le réseau VPC.

      Si Managed Microsoft AD n'est pas utilisé, le seul paramètre de sécurité compatible est sec=sys.

  3. Cliquez sur Créer pour créer l'instance.

gcloud

  1. Installez et initialisez la gcloud CLI.

    Si la gcloud CLI est déjà installée, exécutez la commande suivante pour la mettre à jour :

    gcloud components update

  2. Exécutez la commande gcloud beta filestore instances create pour créer une instance Filestore zonale, régionale ou Enterprise :

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Où :

    • INSTANCE_ID est l'ID de l'instance Filestore que vous souhaitez créer. Consultez Nommer votre instance.
    • DESCRIPTION est une description de l'instance que vous souhaitez utiliser.
    • LOCATION est l'emplacement où vous souhaitez que l'instance Filestore réside.
    • TIER correspond au niveau de service que vous souhaitez utiliser.
    • PROTOCOL est NFS_v4_1.
    • FILE_SHARE_NAME est le nom destiné au partage de fichiers NFS qui est diffusé à partir de l'instance.
    • CAPACITY correspond à la taille souhaitée pour le partage de fichiers, entre 1 Tio et 10 Tio.

    • VPC_NETWORK est le nom du réseau VPC que l'instance devra utiliser. Consultez Sélectionner le réseau VPC.

      • Si vous souhaitez spécifier un VPC partagé à partir d'un projet de service, vous devez spécifier le nom de réseau complet, au format suivant :
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Spécifiez connect-mode=PRIVATE_SERVICE_ACCESS, comme suit :

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID correspond à l'ID du projet dans lequel se trouve le service Microsoft AD géré.

    • MANAGED_AD_DOMAIN_NAME correspond au nom de domaine du service Microsoft AD géré que vous souhaitez utiliser. Vous choisissez ce nom de domaine lorsque vous créez un domaine Microsoft AD géré.

    • DOMAIN_COMPUTER_ACCOUNT correspond au nom que vous souhaitez donner au cluster dans le domaine.

    • CONSUMER_PROJECT_ID est l'ID du projet contenant l'instance Filestore.

    • CONNECT_MODE est DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Si vous spécifiez un VPC partagé comme réseau, vous devez également spécifier PRIVATE_SERVICE_ACCESS comme mode de connexion. Cet indicateur est requis pour l'appairage de réseaux VPC, qui est obligatoire lorsque vous utilisez Managed Microsoft AD.

    • RESERVED_IP_RANGE est la plage d'adresses IP de l'instance Cloud Filestore. Si vous spécifiez connect-mode=PRIVATE_SERVICE_ACCESS et que vous souhaitez utiliser une plage d'adresses IP réservée, vous devez spécifier le nom d'une plage d'adresses allouée au lieu d'une plage CIDR. Consultez Configurer une adresse IP réservée. Nous vous recommandons d'ignorer cette option pour permettre à Filestore d'identifier automatiquement une plage d'adresses IP libre et de l'attribuer à l'instance.

Déconnecter un domaine Managed Microsoft AD d'une instance Filestore

Console Google Cloud

  1. Déconnectez une instance Filestore connectée à Managed Microsoft AD.

    Dans la console Google Cloud , accédez à la page "Instances Filestore".

    Accéder à la page des instances Filestore

  2. Cliquez sur l'ID de l'instance à modifier.

  3. Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Dissocier le domaine AD.

  4. Dans la fenêtre Échec de la déconnexion du domaine, lisez l'alerte, puis cliquez sur Modifier l'instance.

    Au moins une règle dans Contrôle des accès doit être mappée au rôle Administrateur avec le paramètre de sécurité du montage sys, par exemple Access=Admin Mount et sec=sys.

  5. Dans le volet Modifier le partage, recherchez la règle pour laquelle Accès est défini sur Administrateur. Cliquez sur Monter sec= …, puis sélectionnez sys pour ajouter cette option au paramètre existant.

  6. Cliquez sur OK.

  7. Cliquez sur Enregistrer.

  8. À côté de Nom du service d'annuaire, cliquez sur Déconnecter le domaine AD.

  9. Dans le champ de la fenêtre Déconnecter du domaine ?, saisissez le nom du domaine dont vous souhaitez vous déconnecter.

  10. Cliquez sur Déconnecter.

Modifier les règles d'accès

  1. Actualisez la page. Notez que le nom du service d'annuaire est désormais défini sur Aucun.

  2. Cliquez sur Modifier.

  3. Dans le volet Modifier le partage, recherchez les règles qui définissent l'accès pour un rôle autre que Administrateur, comme Éditeur. Dans la règle, cliquez sur Monter sec= …, puis sélectionnez sys pour l'ajouter au paramètre existant. Cliquez sur OK.

  4. Cliquez sur Enregistrer.

  5. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Reconnecter un service Microsoft AD géré à une instance Filestore

Console Google Cloud

  1. Reconnectez une instance Filestore à Managed Microsoft AD.

    Dans le volet Point de montage NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Rejoindre le domaine AD.

  2. Dans la fenêtre Associer cette instance à un domaine Active Directory, sélectionnez Utiliser les domaines du projet actuel. Dans le menu Associer un domaine Active Directory, sélectionnez le domaine que vous souhaitez utiliser.

  3. Dans le menu Nom du compte de l'ordinateur, saisissez un nom.

  4. Cliquez sur Rejoindre le domaine.

  5. Actualisez la page. Notez que le nom du service d'annuaire a été mis à jour avec votre sélection.

  6. Cliquez sur Modifier.

  7. Dans le volet Modifier le partage, cliquez sur Monter sec= … dans toutes les règles applicables et supprimez la sélection sys. Cliquez sur OK.

  8. Cliquez sur Enregistrer.

  9. Actualisez la page.

Les paramètres de la règle sont mis à jour.