Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak utworzyć i zastosować niestandardowe zasady dostępu klienta dla obszarów docelowych pamięci.
Zasady dostępu klienta kontrolują sposób, w jaki klienci mogą łączyć się z eksportami docelowymi magazynu. Możesz kontrolować takie elementy jak root squash i dostęp do odczytu/zapisu na hoście klienta lub na poziomie sieci.
Zasady dostępu są stosowane do ścieżki przestrzeni nazw, co oznacza, że można użyć różnych zasad dostępu dla dwóch różnych eksportów w systemie magazynu NFS.
Ta funkcja jest przeznaczona dla przepływów pracy, w których należy kontrolować, jak różne grupy klientów uzyskują dostęp do celów magazynowania.
Jeśli nie potrzebujesz szczegółowej kontroli nad dostępem do zasobów magazynujących, możesz użyć polityki domyślnej lub dostosować ją, dodając dodatkowe reguły. Jeśli na przykład chcesz włączyć root squash dla wszystkich klientów łączących się przez cache, możesz edytować politykę o nazwie domyślne, aby dodać ustawienie root squash.
Tworzenie zasad dostępu klienta
Użyj strony Zasady dostępu klienta w witrynie Azure Portal, aby utworzyć zasady i zarządzać nimi.
Każda zasada składa się z reguł. Reguły są stosowane do hostów w kolejności od najmniejszego zakresu (host) do największego (domyślny). Pierwsza reguła, która pasuje, jest stosowana, a późniejsze są ignorowane.
Aby utworzyć nowe zasady dostępu, kliknij przycisk + Dodaj zasady dostępu w górnej części listy. Nadaj nowe zasady dostępu nazwę i wprowadź co najmniej jedną regułę.
W pozostałej części tej sekcji opisano wartości, których można użyć w regułach.
Zakres
Termin zakresu i filtr adresów współpracują ze sobą w celu zdefiniowania klientów, których dotyczy reguła.
Użyj ich, aby określić, czy reguła ma zastosowanie do pojedynczego klienta (hosta), zakresu adresów IP (sieci) lub wszystkich klientów (ustawienie domyślne).
Wybierz odpowiednią wartość zakresu dla reguły:
- Host — reguła dotyczy pojedynczego klienta
- Sieć — reguła dotyczy klientów w zakresie adresów IP
- Ustawienie domyślne — reguła ma zastosowanie do wszystkich klientów.
Reguły w zasadach są oceniane w tej kolejności. Gdy żądanie instalacji klienta jest zgodne z jedną regułą, pozostałe są ignorowane.
Filtr adresów
Wartość filtru Adres określa, którzy klienci są zgodni z regułą.
Jeśli ustawisz zakres na host, możesz określić tylko jeden adres IP w filtrze. Dla ustawienia zakresu domyślnego nie można wprowadzić żadnych adresów IP w polu Filtr adresów , ponieważ domyślny zakres jest zgodny ze wszystkimi klientami.
Określ adres IP lub zakres adresów dla tej reguły. Użyj notacji CIDR (na przykład: 0.1.0.0/16), aby określić zakres adresów.
Poziom dostępu
Ustaw uprawnienia, które mają nadać klientom, którzy są zgodni z zakresem i filtrem.
Opcje to odczyt/zapis, tylko do odczytu lub brak dostępu.
SUID
Zaznacz pole SUID, aby zezwolić plikom w pamięci masowej na ustawianie identyfikatorów użytkowników przy dostępie.
Identyfikator SUID jest zwykle używany do tymczasowego zwiększenia uprawnień użytkownika, aby użytkownik mógł wykonać zadanie związane z tym plikiem.
Dostęp do podstawy montażowej
Zaznacz to pole wyboru, aby umożliwić określonym klientom bezpośrednią instalację podkatalogów tego eksportu.
Maskowanie root
Wybierz, czy chcesz ustawić root squash dla klientów, którzy pasują do tej reguły.
To ustawienie określa sposób, w jaki usługa Azure HPC Cache traktuje żądania od użytkownika głównego na komputerach klienckich. Po włączeniu root squash użytkownicy root z klienta są automatycznie mapowani na użytkownika o ograniczonych uprawnieniach, przesyłając żądania przez Azure HPC Cache. To również uniemożliwia żądaniom klientów korzystanie z bitów uprawnień set-UID.
Jeśli root squash jest wyłączony, żądanie od użytkownika root klienta (UID 0) jest przekazywane do zaplecza magazynu NFS jako root. Ta konfiguracja może zezwalać na nieodpowiedni dostęp do plików.
Ustawienie opcji root squash dla żądań klientów może zapewnić dodatkowe zabezpieczenia dla systemów zaplecza magazynowania. Może to być ważne, jeśli używasz systemu NAS skonfigurowanego no_root_squash jako docelowe miejsce magazynowania. (Przeczytaj więcej na temat wymagań wstępnych dotyczących magazynu systemu plików NFS).
Jeśli włączysz opcję root squash, musisz również ustawić wartość użytkownika anonimowego. Portal akceptuje wartości całkowite z zakresu od 0 do 4294967295. (Stare wartości -2 i -1 są obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami, ale nie są zalecane w przypadku nowych konfiguracji).
Te wartości są mapowane na określone wartości użytkownika:
- -2 lub 65534 (nikt)
- -1 lub 65535 (brak dostępu)
- 0 (nieuprzywilejowany użytkownik root)
System przechowywania może mieć inne wartości o specjalnym znaczeniu.
Aktualizowanie zasad dostępu
Zasady dostępu można edytować lub usuwać z tabeli na stronie Zasady dostępu klienta .
Kliknij nazwę zasad, aby otworzyć ją do edycji.
Aby usunąć zasady, zaznacz pole wyboru obok jego nazwy na liście, a następnie kliknij przycisk Usuń w górnej części listy. Nie można usunąć zasad o nazwie "default".
Uwaga
Nie można usunąć zasad dostępu, które są używane. Usuń politykę ze wszystkich ścieżek przestrzeni nazw, które zawierają ją, przed próbą usunięcia.
Następne kroki
- Zastosuj zasady dostępu w ścieżkach przestrzeni nazw dla docelowych zasobów magazynowania. Przeczytaj artykuł Konfigurowanie zagregowanej przestrzeni nazw , aby dowiedzieć się, jak to zrobić.