Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Authentifizierung für Clusterknoten auf zwei Arten aktivieren: verwenden Sie die integrierte Authentifizierung von CycleCloud oder integrieren Sie Knoten in einen Verzeichnisdienst wie Active Directory oder LDAP.
Der VM-Agent-Benutzer
Jede Azure-VM, die CycleCloud startet und verwaltet, hat einen Administratorbenutzer mit dem Namen cyclecloud. Der VM-Agent erstellt diesen Benutzer. Sie finden den privaten SSH-Schlüssel für den cyclecloud Benutzer unter /opt/cycle_server/.ssh/cyclecloud.pem auf dem CycleCloud-Anwendungsserver. Dieser Schlüssel ist für jede Installation eindeutig und wird während des Installationsvorgangs generiert.
Der cyclecloud Benutzer ist lokal auf jedem virtuellen Computer vorhanden. Behandeln Sie es als Dienstbenutzer mit Administratorzugriff, aber möglicherweise ist dies hilfreich für die Problembehandlung.
Um eine Verbindung zu einem Knoten als cyclecloud herzustellen, führen Sie den folgenden Befehl aus:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Alternativ können Sie die CycleCloud CLI verwenden:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Integrierte Benutzerverwaltung
CycleCloud enthält ein integriertes Benutzerverwaltungssystem, das lokale Benutzerkonten auf jeder VM erstellt. Das System erstellt diese lokalen Benutzerkonten für jeden Benutzer mit Authentifizierungsberechtigungen für den Cluster. Darüber hinaus verfügen Benutzer mit der Knotenadministratorberechtigung über Administratorrechte (sudo) für jeden virtuellen Computer im Cluster. Sie können diese Berechtigungen über den Besitz des Clusters erteilen, indem Sie Berechtigungen explizit für den Cluster freigeben oder Benutzern eine Rolle zuweisen, die globalen Authentifizierungszugriff gewährt. Weitere Informationen zum Zuweisen von Rollen zu Benutzern finden Sie unter CycleCloud User Management.
Sie können die Liste der Benutzer mit Authentifizierungszugriff auf Knoten auf der Clusterseite unter "Benutzer" anzeigen. Wenn Sie den Link anzeigen auswählen, wird ein Dialogfeld mit weiteren Informationen geöffnet.
Dieses Dialogfeld zeigt jeden Benutzer und den Status der Benutzerverwaltung auf jedem Knoten im Cluster an. Es zeigt alle Fehler oder Warnungen an, wenn Benutzer konfiguriert werden, wie zum Beispiel ein UID-Konflikt oder ein unzulässiger Benutzername. Da der jetpackd Daemon Benutzer auf jedem Knoten verwaltet, können Sie Änderungen an ausgeführten Clustern vornehmen.
Anmelden bei Knoten
Die Benutzerauthentifizierung verwendet SSH-Schlüssel. Der öffentliche Schlüssel jedes Benutzers stammt aus CycleCloud und wird auf jedem virtuellen Computer eingerichtet. Wenn ein Benutzer keinen öffentlichen Schlüssel hat, wird das lokale Benutzerkonto weiterhin erstellt, der Benutzer kann sich aber erst anmelden, wenn ein Schlüssel manuell hinzugefügt wird.
Für Cluster mit einem NFS-Server befindet sich das Heimverzeichnis jedes Benutzers im NAS unter dem Basisverzeichnis /shared/home. Für Cluster ohne NFS-Server ist das Basisstartverzeichnis /home und es ist lokal für jeden virtuellen Computer im Cluster.
Widerrufen des Zugriffs
Wenn Sie einem Benutzerauthentifizierungszugriff über eine freigegebene Berechtigung gewähren, entfernen Sie diese freigegebene Berechtigung mithilfe des Zugriffslinks auf der Clusterseite. Wenn ein Benutzer über die Rolle "Globaler Knotenadministrator " oder " Globaler Knotenbenutzer " verfügt, muss ein Administrator diese Rollen auf der Registerkarte " Einstellungen " der Benutzer entfernen.
Hinweis
Sie löschen keine Benutzerkonten auf ausgeführten Knoten. Stattdessen ändern Sie die Authentifizierungsshell für diese widerrufenen Benutzerkonten in "/sbin/nologin". Diese Änderung verweigert den weiteren Authentifizierungszugriff, ohne die Daten des Benutzers zu zerstören.
Deaktivieren des integrierten Benutzerverwaltungssystems
Jede CycleCloud-Installation aktiviert standardmäßig das integrierte Benutzerverwaltungssystem. Diese Einstellung gilt für die gesamte Installation. Alle Cluster, die der CycleCloud-Server verwaltet, haben diese Einstellung aktiviert. Um es zu deaktivieren, wechseln Sie auf der Seite "Einstellungen" zum Abschnitt "CycleCloud". Das Popupfeld verfügt über eine Option für die Knotenauthentifizierung. Wählen Sie " Deaktiviert " aus der Dropdownliste aus, um sicherzustellen, dass das System keine lokalen Benutzerkonten abgesehen vom VM-Agent-Benutzer erstellt.
Benutzerverwaltungssysteme von Drittanbietern
Für Unternehmensproduktionscluster empfehlen wir die Verwaltung des Benutzerzugriffs über einen Verzeichnisdienst wie LDAP, Active Directory oder NIS. Sie können diese Integration implementieren, indem Sie PAM und NSS in den VM-Images konfigurieren, die auf jedem Knoten verwendet werden, oder indem Sie CycleCloud-Projekte erstellen, die während der Softwareinstallationsphase für jeden Knoten ausgeführt werden.
Der Azure Active Directory-Domänendienst stellt einen verwalteten Dienst für Active Directory-Server bereit. Anweisungen für den Beitritt zu einer Linux-Domäne finden Sie hier.