未解決
1 Rookie
•
166 メッセージ
0
1703
Isilon Groupnetの設定
Onefs8.xからGroupnetという要素が追加されたため、参照するDNSが複数ある環境の場合、Groupnetで分けられるようになった認識でいます。
ドメインが2つある環境で、DNSサーバもそれぞれのドメインごとに分かれており、両環境同じセグメントなのですが、クライアント端末がDomain-A参加のものと、Domain-B参加のものがいる状態です。
Isilon上の設定としてGroupnetを分けずに以下のように設定をしました。
・Groupnet0にDNS-AとDNS-Bを両方指定
・Groupnet0に各ドメインのサフィックスを両方登録(domain-A.local, domain-B.local)
この状態で、Isilonからdomain-Aとdomain-BのADサーバを登録しました。
AccessZoneもdomain-Aでの認証用とdomain-Bでの認証用で2つ作成し、以下のフォルダ構成でベースディレクトリ指定しています。
・/ifs/fileserver ⇒domain-A用のAccessZoneベースディレクトリ
・/ifs/fileserver/domain-AandB ⇒domain-B用のAccessZoneベースディレクトリ
※/ifs/fileserver/配下にはdomain-Aとdomain-AandBというフォルダが存在しており、domain-Aはdomain-Aのみの使用、domain-AandBはdomain-Aとdomain-B両方から使用できる領域として構成をしています
上記のような設定で、各DNSに委任設定をすることで、domain-A、domain-Bそれぞれの端末から問題なく想定通りアクセスすることができました。
Groupnetを分けないことで何か懸念されることがあるか、そもそもOneFSの仕組み的にNGな設定内容なのか否か、ご教授いただけないでしょうか。
※Groupnetを分けるとセグメントが同じでも各Groupnet配下のsubnetごとにSmartConnect Service IPが必要になってきてしまうと思うので、まとめられるとよいなと思いご質問させていただいています。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2018年11月7日 21:00
y.takahashiさん
Groupnet導入のトリガーはマルチテナント機能の提供であり、その際にネットワーク設定を完全に独立させてテナント毎に異なるDNSの参照を可能とする(8.0未満までは出来ていなかった)ことが出来るようにしたものです。
今回のy.takahashiさんの環境では、8.0以前の環境でも実現可能な、AccessZoneの機能+DNSの権限委任(これはIsilonの機能ではないですが・・・)を使った複数ドメイン環境の構築を行っているので、問題なく動作をしているのであれば大きな問題はなさそうです。
というように「大きな問題はなさそう」という歯切れの悪い言葉を使っているのは、DELL EMC ISILON OneFS BEST PRACTICESのP.36に以下文言があるためです。
If you create access zones, ensure that the directory paths for each zone under /ifs do not overlap. Instead, you should designate separate directory trees for each zone.
つまりIsilonのBest Practice的にはifs/fileserver/domain-Aをdomain-A用のベースディレクトリとするなどして、domain-B用のベースディレクトリと入れ子の関係にしないようにということが書かれています。
とはいえこのような設定にするとdomain-Aのユーザがdomain-AandBというフォルダにそのままではアクセスが出来ないので、Authentication Provider(AD等)の一方向の信頼関係(domain-Aのユーザはdomain-Bのリソースにアクセスできるが逆は許さない)というような設定を行う必要が出てきてしまうのですが、実現可能であればこのような設定をお勧めします。
KZ-2011
1 Rookie
1 Rookie
•
122 メッセージ
0
2018年11月9日 01:00
y.takahashiさん
設定された状況からお見受けするに、domain-Aとdomain-Bは信頼関係が結ばれているのではないでしょうか?
その場合には、設定された内容でGroupnetを分けずとも利用することができますし問題ありません。
(Groupnetが出てきた背景はUehara.Yさんのコメントの通りです)
また、拝見する範囲ではAccess Zoneを分ける必要がないのではと想像します。
設計に関わるところですので一概には言えませんが、複雑な構成になってしまっているような気がします。
ネットワークデザインも相まってこの辺りは設計が難しいポイントかと思いますので、極力シンプルにされるのをお勧めします。