Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwierzytelnianie dla węzłów klastra można włączyć na dwa sposoby: użyć wbudowanego uwierzytelniania usługi CycleCloud lub zintegrować węzły z usługą katalogową, taką jak Active Directory lub LDAP.
Użytkownik agenta VM
Każda maszyna wirtualna usługi Azure, uruchamiana i zarządzana przez CycleCloud, ma użytkownika administratora o nazwie cyclecloud.
Agent maszyny wirtualnej tworzy tego użytkownika. Klucz prywatny SSH dla cyclecloud użytkownika można znaleźć na stronie /opt/cycle_server/.ssh/cyclecloud.pem na serwerze aplikacji CycleCloud. Ten klucz jest unikatowy dla każdej instalacji i jest generowany podczas procesu instalacji.
Użytkownik cyclecloud istnieje lokalnie na każdej maszynie wirtualnej. Traktuj go jako użytkownika usługi z dostępem administratora, ale może okazać się pomocne w rozwiązywaniu problemów.
Aby połączyć się z węzłem jako cyclecloud, wykonaj następujące polecenie:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Alternatywnie możesz użyć interfejsu wiersza polecenia CycleCloud:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Wbudowane zarządzanie użytkownikami
Usługa CycleCloud zawiera wbudowany system zarządzania użytkownikami, który tworzy konta użytkowników lokalnych na każdej maszynie wirtualnej. System tworzy te konta użytkowników lokalnych dla każdego użytkownika z uprawnieniami uwierzytelniania do klastra. Ponadto użytkownicy z uprawnieniami administratora węzła mają uprawnienia administratora (sudo) dla każdej maszyny wirtualnej w klastrze. Te uprawnienia można przyznać za pośrednictwem własności klastra, jawnie udostępniając uprawnienia do klastra lub przypisując użytkowników do roli, która udziela dostępu do uwierzytelniania globalnego. Aby uzyskać więcej informacji na temat przypisywania ról do użytkowników, zobacz CycleCloud User Management (Zarządzanie użytkownikami w usłudze CycleCloud).
Listę użytkowników z dostępem uwierzytelniania do węzłów można wyświetlić na stronie klastra w obszarze Użytkownicy. Wybranie linku pokaż powoduje otwarcie okna dialogowego zawierającego więcej informacji.
To okno dialogowe pokazuje każdego użytkownika i stan zarządzania użytkownikami w każdym węźle w klastrze. Wyświetla wszelkie błędy lub ostrzeżenia podczas konfigurowania użytkowników, takich jak konflikt UID lub niedozwolona nazwa użytkownika.
jetpackd Demon zarządza użytkownikami w każdym węźle, dlatego można wprowadzać zmiany w uruchomionych klastrach.
Logowanie do węzłów
Uwierzytelnianie użytkownika używa kluczy SSH. Klucz publiczny każdego użytkownika pochodzi z usługi CycleCloud i jest konfigurowany na każdej maszynie wirtualnej. Jeśli użytkownik nie ma klucza publicznego, konto użytkownika lokalnego jest nadal tworzone, ale użytkownik nie może się zalogować, dopóki klucz nie zostanie dodany ręcznie.
W przypadku klastrów z serwerem NFS katalog główny każdego użytkownika znajduje się na serwerze NAS w katalogu /shared/homepodstawowym . W przypadku klastrów bez serwera NFS podstawowy katalog główny jest /home i jest lokalny dla każdej maszyny wirtualnej w klastrze.
Odwołując dostęp
Jeśli przyznasz użytkownikowi dostęp uwierzytelniania za pośrednictwem uprawnienia udostępnionego, usuń to uprawnienie udostępnione przy użyciu linku Dostęp na stronie klastra. Jeśli użytkownik ma rolę administratora globalnego węzła lub użytkownika globalnego węzła , administrator musi usunąć te role na karcie Użytkownicy strony Ustawienia .
Uwaga
Nie usuwasz kont użytkowników w uruchomionych węzłach. Zamiast tego należy zmienić powłokę logowania dla tych odwołanych kont użytkowników na /sbin/nologin. Ta zmiana uniemożliwia dalszy dostęp do uwierzytelniania bez niszczenia danych użytkownika.
Wyłączanie wbudowanego systemu zarządzania użytkownikami
Każda instalacja usługi CycleCloud domyślnie włącza wbudowany system zarządzania użytkownikami. To ustawienie dotyczy całej instalacji. Wszystkie klastry zarządzane przez serwer CycleCloud mają włączone to ustawienie. Aby go wyłączyć, przejdź do sekcji CycleCloud na stronie Ustawienia . Okno podręczne zawiera opcję Uwierzytelniania węzła. Wybierz pozycję Wyłączone z listy rozwijanej, aby upewnić się, że system nie tworzy żadnych kont użytkowników lokalnych poza użytkownikiem agenta maszyny wirtualnej.
Systemy zarządzania użytkownikami innych firm
W przypadku klastrów produkcyjnych przedsiębiorstwa zalecamy zarządzanie dostępem użytkowników za pośrednictwem usługi katalogowej, takiej jak LDAP, Active Directory lub NIS. Tę integrację można zaimplementować, konfigurując usługi PAM i NSS na obrazach maszyn wirtualnych używanych w każdym węźle lub tworząc projekty CycleCloud uruchamiane w fazie instalacji oprogramowania dla każdego węzła.
Usługa Azure Active Directory Domain Service udostępnia usługę zarządzaną dla serwerów usługi Active Directory. Instrukcje dotyczące dołączania do domeny systemu Linux można znaleźć tutaj.