[Storage][Isilon][Virtualization] Isilon SD EdgeでCIFS共有を作る

Isilon SD Edgeクラスタもできたので

早速SMB共有でも作ってみるかと張り切ったんですが、意外と苦戦しました。備忘録も兼ねて、手順をまとめていきます。

ファイルシステムの考え方

Isilonでは、ファイルシステムの考え方としてOneFSというその名の通り、「実質1つのファイルシステムで構成されている」というのがあります。我々が通常ストレージの構成を考える際に、用途別でファイルシステムの数、容量を見積もり・設計したりしますが、それはOneFSの中のディレクトリやクォータを用いて行うようです。

SMBサーバの考え方

NASではよくある話ですが、まずSMBサーバの構成を立て、そこにActive Directoryドメインと接続させたりするわけですが、そこは「Authentication Provider」と言う設定項目で設定をするようです。

Access Providerは複数定義することが可能で、Active Directoryに限らず、NISやLDAP認証なども同じ項目で定義することになります。このあたり、通常のNASとは異なる概念を用いることになりそうです。

というわけで、順を追ってCIFSアクセスが出来る状態まで構成を組んでみようと思います。

Authentication Providerの作成(ドメイン参加)

管理コンソールから「Access]⇒「Authentication Providers」を選択します。

Active Directoryタブにて「Join a Domain」をクリックします。

Active Directory接続設定画面が開かれます。

  • Domain name:Active DirectoryドメインのFQDNを入力します。
  • User:ドメイン参加に使用するアカウントを指定します。
  • Password:Userのパスワードを入力します。
  • Organizational Unit:もし特定のOUにアカウントを配置したい場合、ここで指定します。指定がない場合はComputersコンテナに配置されます。
  • Machine account:コンピュータアカウントの名前を指定します。これがSMBサーバ名になります。
  • Groupnet:指定するgroupnetインタフェースを指定します。初期設定で作成済みのgroupnet0を今回は使用しています。
  • Enable secure NFS:コレについては詳細がわかっていませんが、おそらくはUnifiedで使う歳の設定じゃないかなと思います。

  • Services for UNIX:過去存在していたServices for UNIXとの連携が必要な場合、ここで選択をします。
  • Store services for UNIX mappings:UNIX IDとのマッピングをする場合に指定します。

  • 下段には、UNIX UID/GIDのアサインポリシーなどを設定する画面が続きます。

設定が完了したら、「Join」をクリックすることでドメイン参加が行われます。

ドメイン参加処理が行われ、うまくいくと以下のようになります。

実際、ドメインコントローラ上でコンピュータアカウントを確認すると、作成されていることが確認でき、OSもOneFSと表現されています。

共有ディレクトリの作成

次に、実際にデータを配置することになるディレクトリを作成します。
管理コンソールから、「File System」⇒「File System Explorer」を選択します。

初期状態では、/ifsというディレクトリを先頭に、以下のようなディレクトリが構成されています。今回、/ifs配下にsmb_data/UserVol と言うディレクトリを作り、ここに共有を張ろうと思います。
「Create Directory」というボタンをクリックすることで新規ディレクトリを作成できます。

smb_dataディレクトリを作成します。「Create Directory」ボタンをクリックすることで作成されます。

その配下にUserVolと言うディレクトリを作成します。

UserVolディレクトリが完成した状態です。パスが/ifs/smb_data/UserVolまでできていることが「Path」の箇所からわかると思います。

SMB共有の作成

先ほど作成した/ifs/smb_data/UserVolをSMB共有にします。
管理コンソールから「Protocols」⇒「Windows Sharing(SMB)」を選択します。

「Create an SMB Share」をクリックします。(デフォルトで/ifsに共有が張られているけど、ぶっちゃけ消しても良いような気がする・・・)

共有設定画面が表示されます。

  • Name:共有フォルダ名を指定します
  • Description:コメント・説明を必要に応じて設定します
  • Path:実パスを指定します
  • Create SMB share directory if it does not exist:指定されたディレクトリが存在しなければ作ります
  • Directory ACLs:ディレクトリのACL設定を、Windows標準設定(後述します)から反映させるか、変更させないかを指定できます
  • Home Directory Provisioning:ホームディレクトリの自動作成にも対応しているようです。その際は配下のパラメータを指定していくことになるようですが、今回はホームディレクトリを作成しないため、説明を割愛します。

なお、「Members」と言う項目があるのですが、ここではあくまで「共有アクセス権」を設定する箇所になり、「NTFSアクセス権」を設定する場所ではありません。少なくともOneFS管理コンソールからアクセスするすべを見つけることはできず、Windowsで設定する必要があるのかなと感じました。
設定後、「Create Share」をクリックすることで共有フォルダが作成されます。

出来上がった後の画面がこちらになります。

ドメイン参加はしたのですが、どうやら通常のWindowsサーバやUnityVSAとは違い、動的DNS登録は行わないようなので、先にAuthentication provider作成時に定義したコンピュータアカウント名のAレコードをSmartConnect IPアドレスで登録してみます。

アクセスしてみる

では早速アクセスしてみます。
おお、共有フォルダが見えた。

共有アクセス権の定義ですが、先に設定したとおりになっています。

NTFSアクセス権については以下のようになっていました。デフォルトだとEveryoneに読み取りと実行権限が付与されていますね。これは先の設定で「 Apply Windows default ACLs」を指定した場合に反映される内容になっています。

よって、実際の現場では恐らくこの設定は使わないんじゃないかなと思います。(Everyoneに対する読み取り許可はあまりいいものじゃないし)1階層上位ディレクトリを管理共有にし、ACLを定義した後に配下のディレクトリを本共有として作成するのが望ましい姿なのかなぁとかぼんやりと考えたりします。