Crie uma instância do Filestore com o Microsoft AD gerido

Crie uma instância do Filestore que use o protocolo NFSv4.1 com o Managed Microsoft AD.

Antes de começar

Antes de criar uma nova instância do Filestore, certifique-se de que tem quota suficiente. Os intervalos de quotas de instâncias variam consoante a localização da região e o nível de serviço que quer usar. Para aumentar a quota disponível, tem de enviar um pedido de aumento da quota.

Crie o domínio do Microsoft AD gerido

Se quiser usar o Microsoft AD gerido com uma instância do Filestore, tem de criar o domínio do Microsoft AD gerido antes da instância do Filestore.

  1. O domínio do Microsoft AD gerido e a instância do Filestore têm de usar a mesma VPC enquanto estiverem no mesmo projeto.

    Se o seu serviço Managed Microsoft AD estiver alojado num projeto separado da instância do Filestore que quer usar, a rede VPC do Filestore tem de estar interligada ao domínio do Managed Microsoft AD.

    Para mais informações, consulte o artigo Implemente o Microsoft AD gerido com acesso entre projetos através da interligação de domínios.

  2. Conclua todos os passos de configuração para criar uma instância do Filestore.

  3. Certifique-se de que os utilizadores do Microsoft AD gerido têm os campos POSIX RFC 2307 e RFC 2307bis preenchidos, semelhantes aos seguintes.

    Para mais informações sobre como configurar objetos no Microsoft AD gerido, consulte o artigo Objetos do Active Directory gerido.

    Utilizadores e computadores do Active Directory

    Os passos seguintes descrevem os atributos que tem de definir para os utilizadores e os grupos do LDAP. Pode gerir os atributos POSIX através do snap-in MMC Utilizadores e computadores do Active Directory.

    Abra o editor de atributos da seguinte forma:

    1. Clique em Iniciar.

    2. Clique em Ferramentas administrativas do Windows e selecione Utilizadores e computadores do Active Directory.

      É apresentada a janela Utilizadores e computadores do Active Directory.

    3. Selecione o nome do domínio que quer ver. Para expandir o respetivo conteúdo, clique na seta de expansão.

    4. No menu Ver do Active Directory Users and Computers, selecione Funcionalidades avançadas.

    5. No painel esquerdo, clique duas vezes em Utilizadores.

    6. Na lista de utilizadores, clique duas vezes num utilizador para ver o separador Editor de atributos.

      Os utilizadores do LDAP têm de ter os seguintes atributos definidos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada utilizador tem de ter um uidNumber único. Tenha em atenção que o valor do atributo uid é sensível a maiúsculas e minúsculas. Para o atributo objectClass, user é a predefinição na maioria das implementações do Active Directory (AD). Segue-se um exemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Os grupos LDAP têm de ter os seguintes atributos definidos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo tem de ter um gidNumber único. Tenha em atenção que o valor do atributo cn é sensível a maiúsculas e minúsculas. Para o atributo objectClass, group é a predefinição na maioria das implementações de AD. Segue-se um exemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Conceda acesso ao Filestore para criar e gerir objetos no Managed Microsoft AD através do comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Substitua o seguinte:

    • MANAGED_MICROSOFT_AD_PROJECT_ID é o ID do projeto do projeto onde o domínio do Microsoft AD gerido está localizado.
    • PROJECT_ID é o ID do projeto onde a instância do Filestore está localizada.

    Pode ver um erro semelhante ao seguinte:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Se for o caso, use o seguinte comando para o resolver:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crie uma instância do Filestore com o Microsoft AD gerido

Google Cloud consola

Configure os parâmetros da instância

  1. Na Google Cloud consola, aceda à página Instâncias do Filestore.

    Aceda à página de instâncias do Filestore

  2. Clique em Criar instância.

  3. Especifique os parâmetros básicos da instância:

    1. No campo ID da instância, introduza o nome que quer usar para a instância do Filestore.

    2. Em Tipo de instância, selecione Regional ou Zonal.

      Para criar uma instância empresarial, tem de executar operações diretamente através da API Filestore.

    3. Em Capacidade atribuída, introduza a capacidade que quer usar. Tem de introduzir um valor entre 1 TB e 10 TB, em incrementos de 256 GiB (0,25 TiB).

    4. Em Região, selecione a região que quer usar.

    5. Em Rede de VPC, selecione a rede que quer usar para a instância do Filestore e os clientes NFS.

      • Se o Managed Microsoft AD estiver no mesmo projeto que a instância do Filestore, a rede VPC tem de ser autorizada no domínio do Managed Microsoft AD.
      • Se o Managed Microsoft AD estiver num projeto separado, a rede VPC deve ser configurada com o peering de rede do Active Directory na configuração do Managed Microsoft AD.

    6. Em Intervalo de IPs atribuído, selecione Usar um intervalo de IPs atribuído automaticamente (recomendado).

    7. Em Protocolo, selecione NFSv4.1.

Configure as definições de autenticação da instância

  1. Configure as definições de autenticação da instância.
    1. Clique em Autenticação.
    2. Selecione o projeto que aloja o Managed Microsoft AD. Para efeitos deste guia, vamos assumir que o projeto atual é o que queremos usar. Na lista Associar um domínio do Active Directory, selecione o domínio do Microsoft AD gerido que quer usar.
    3. No campo Nome da conta do computador, introduza o nome da conta do computador que quer usar para identificar a instância do Filestore no domínio do Microsoft AD gerido. O nome está limitado a 15 carateres alfanuméricos.
    4. No campo Nome da partilha de ficheiros, introduza o nome da partilha tal como vai ser usado pelos clientes NFSv4.1.

  2. No painel Controlo de acesso, conclua um dos seguintes passos:

    • Se usar o Microsoft AD gerido, selecione Restringir acesso por endereço IP ou intervalo.

      1. Defina a regra de acesso por IP ou sub-rede que quer definir. Para os fins deste guia, use as seguintes definições:
      2. No campo Endereço IP ou intervalo 1, introduza o endereço IP ou o intervalo que quer usar.
      3. Clique na lista pendente Acesso 1 e selecione Administrador. Clique na lista pendente Mountsec= 1 e selecione a caixa de verificação sys.

      O proprietário predefinido do Filestore / é root. Para ativar o acesso à instância para outros utilizadores e grupos, tem de criar uma regra de acesso que ative o acesso à VM de gestão através da função Admin e da definição de segurança sec=sys.

    • Se não estiver a usar o Microsoft AD gerido, selecione Conceder acesso a todos os clientes na rede VPC.

      Se o Microsoft AD gerido não for usado, a única definição de segurança suportada é sec=sys.

  3. Clique em Criar para criar a instância.

gcloud

  1. Instale e inicialize a CLI gcloud.

    Se já tiver a CLI gcloud instalada, execute o seguinte comando para a atualizar:

    gcloud components update

  2. Execute o comando gcloud beta filestore instances create para criar uma instância zonal, regional ou empresarial do Filestore:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Onde:

    • INSTANCE_ID é o ID da instância do Filestore que quer criar. Consulte a secção Atribua um nome à sua instância.
    • DESCRIPTION é uma descrição da instância que quer usar.
    • LOCATION é a localização onde quer que a instância do Filestore resida.
    • TIER é o nível de serviço que quer usar.
    • PROTOCOL é NFS_v4_1.
    • FILE_SHARE_NAME é o nome que especifica para a partilha de ficheiros NFS que é servida a partir da instância.
    • CAPACITY é o tamanho que quer para a partilha de ficheiros, entre 1 TiB e 10 TiB.

    • VPC_NETWORK é o nome da rede VPC que quer que a instância use. Consulte Selecione a rede de VPC.

      • Se quiser especificar uma VPC partilhada a partir de um projeto de serviço, tem de especificar o nome da rede totalmente qualificado, que está no seguinte formato:
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Especifique connect-mode=PRIVATE_SERVICE_ACCESS, semelhante ao seguinte:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID é o ID do projeto onde o serviço Managed Microsoft AD está localizado.

    • MANAGED_AD_DOMAIN_NAME é o nome do domínio do serviço Managed Microsoft AD que quer usar. Escolhe este nome de domínio quando cria um domínio do Microsoft AD gerido.

    • DOMAIN_COMPUTER_ACCOUNT é qualquer nome que queira dar ao cluster no domínio.

    • CONSUMER_PROJECT_ID é o ID do projeto que contém a instância do Filestore.

    • CONNECT_MODE é DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Se estiver a especificar uma VPC partilhada como a rede, também tem de especificar PRIVATE_SERVICE_ACCESS como o modo de ligação. Esta flag é necessária para o intercâmbio da rede da VPC, que é um requisito quando usa o Microsoft AD gerido.

    • RESERVED_IP_RANGE é o intervalo de endereços IP da instância do Filestore. Se estiver a especificar connect-mode=PRIVATE_SERVICE_ACCESS e quiser usar um intervalo de endereços IP reservado, tem de especificar o nome de um intervalo de endereços atribuído em vez de um intervalo CIDR. Consulte o artigo Configure um endereço IP reservado. Recomendamos que ignore esta flag para permitir que o Filestore encontre automaticamente um intervalo de endereços IP livre e o atribua à instância.

Desassocie um Managed Microsoft AD de uma instância do Filestore

Google Cloud consola

  1. Desassocie uma instância do Filestore associada ao Managed Microsoft AD.

    Na Google Cloud consola, aceda à página Instâncias do Filestore.

    Aceda à página de instâncias do Filestore

  2. Clique no ID da instância da instância que quer editar.

  3. No painel Ponto de montagem NFS, em Protocolo, junto a Nome do serviço de diretório, clique em Desassociar domínio do AD.

  4. Na janela Falha ao desassociar do domínio, leia o alerta e, de seguida, clique em Editar instância.

    Pelo menos uma regra no Controlo de acesso tem de ser mapeada para a função de administrador com a definição de segurança de montagem sys, como Acesso=Montagem de administrador e sec=sys.

  5. No painel Editar partilha, localize a regra em que o Acesso está definido como Administrador. Clique em Montar sec= ... e selecione sys para adicionar essa opção à definição existente.

  6. Clique em OK.

  7. Clique em Guardar.

  8. Junto a Nome do serviço de diretório, clique em Desassociar domínio do AD.

  9. No campo da janela Desassociar do domínio?, introduza o nome do domínio do qual quer desassociar.

  10. Clique em Desassociar.

Edite as regras de acesso

  1. Atualize a página. Tenha em atenção que o Nome do serviço de diretório está agora definido como Nenhum.

  2. Clique em Edit.

  3. No painel Editar partilha, localize qualquer regra que defina o acesso para uma função que não seja Administrador, como Editor. Na regra, clique em Montar sec= ... e selecione sys para a adicionar à definição existente. Clique em OK.

  4. Clique em Guardar.

  5. Atualize a página.

    As definições da regra são atualizadas.

Volte a associar um Microsoft AD gerido a uma instância do Filestore

Google Cloud consola

  1. Volte a associar uma instância do Filestore ao Managed Microsoft AD.

    No painel Ponto de montagem NFS, em Protocolo, junto a Nome do serviço de diretório, clique em Aderir ao domínio do AD.

  2. Na janela Associe esta instância a um domínio do Active Directory, selecione Usar domínios do projeto atual no menu Associe um domínio do Active Directory e selecione o domínio que quer usar.

  3. No menu Nome da conta do computador, introduza um nome.

  4. Clique em Aderir ao domínio.

  5. Atualize a página. Tenha em atenção que o Nome do serviço de diretório foi atualizado com a sua seleção.

  6. Clique em Edit.

  7. No painel Editar partilha, clique em Montar sec= ... em todas as regras aplicáveis e remova a seleção sys. Clique em OK.

  8. Clique em Guardar.

  9. Atualize a página.

As definições da regra são atualizadas.