Nastavení společné identity na virtuálním počítači Datová Věda
Na virtuálním počítači Microsoft Azure nebo virtuálním počítači Datová Věda (DSVM) vytvoříte při zřizování virtuálního počítače místní uživatelské účty. Uživatelé se pak ověřují na virtuálním počítači pomocí přihlašovacích údajů pro tyto uživatelské účty. Pokud máte více virtuálních počítačů a uživatelé k nim potřebují přístup, může být správa přihlašovacích údajů obtížná. Pokud chcete tento problém vyřešit, můžete nasadit běžné uživatelské účty a spravovat je prostřednictvím zprostředkovatele identity založeného na standardech. Pak můžete použít jednu sadu přihlašovacích údajů pro přístup k více prostředkům v Azure, včetně několika DSVM.
Active Directory je oblíbený zprostředkovatel identity. podpora Azure ji jak jako cloudovou službu, tak jako místní adresář. Pomocí Microsoft Entra ID nebo místní Active Directory můžete ověřovat uživatele na samostatném dsVM nebo clusteru virtuálních počítačů DSVM ve škálovací sadě virtuálních počítačů Azure. Uděláte to tak, že připojíte instance DSVM k doméně služby Active Directory.
Pokud už službu Active Directory máte, můžete ji použít jako běžného zprostředkovatele identity. Pokud nemáte Active Directory, můžete v Azure spustit spravovanou instanci Active Directory prostřednictvím služby Microsoft Entra Domain Services.
Dokumentace k Microsoft Entra ID poskytuje podrobné pokyny ke správě, včetně pokynů k připojení Microsoft Entra ID k místnímu adresáři, pokud ho máte.
Tento článek popisuje, jak nastavit plně spravovanou službu Active Directory Domain Service v Azure pomocí služby Microsoft Entra Domain Services. Pak se můžete připojit k virtuálním počítačům pro datové vědy ke spravované doméně služby Active Directory. Tento přístup umožňuje uživatelům přistupovat k fondu DSVM (a dalších prostředků Azure) prostřednictvím společného uživatelského účtu a přihlašovacích údajů.
Nastavení plně spravované domény Active Directory v Azure
Služba Microsoft Entra Domain Services usnadňuje správu identit. Poskytuje plně spravovanou službu v Azure. V této doméně služby Active Directory spravujete uživatele a skupiny. Pokud chcete ve svém adresáři nastavit doménu a uživatelské účty Active Directory hostované v Azure, postupujte takto:
Na webu Azure Portal přidejte uživatele do služby Active Directory:
Přihlaste se k webu Azure Portal jako správce privilegovaných rolí.
Přejděte na Microsoft Entra ID>Users>Všichni uživatelé
Výběr možnosti Nový uživatel
Otevře se podokno Uživatel , jak je znázorněno na tomto snímku obrazovky:
Zadejte informace o uživateli, například jméno a uživatelské jméno. Část názvu domény uživatelského jména musí být buď počáteční výchozí název domény [název_domény].onmicrosoft.com" nebo ověřený, nefederovaný vlastní název domény, například "contoso.com".
Zkopírujte nebo jinak poznamenejte vygenerované heslo uživatele. Po dokončení tohoto procesu musíte uživateli zadat toto heslo.
Volitelně můžete otevřít a vyplnit informace v profilu, skupinách nebo roli adresáře pro uživatele.
V části Uživatel vyberte Vytvořit.
Bezpečně distribuujte vygenerované heslo novému uživateli, aby se uživatel mohl přihlásit.
Vytvořte instanci služby Microsoft Entra Domain Services. V části Povolit službu Microsoft Entra Domain Services pomocí prostředku webu Azure Portal přejděte do části Vytvoření instance a nakonfigurujte základní nastavení , kde najdete další informace. Abyste mohli synchronizovat heslo ve službě Microsoft Entra Domain Services, musíte aktualizovat stávající uživatelská hesla ve službě Active Directory. Musíte také přidat DNS do služby Microsoft Entra Domain Services, jak je popsáno v části Dokončení polí v okně Základy webu Azure Portal, abyste v této části vytvořili instanci služby Microsoft Entra Domain Services.
V části Vytvoření a konfigurace virtuální sítě v předchozím kroku vytvořte samostatnou podsíť DSVM ve virtuální síti, kterou jste vytvořili.
Vytvoření jedné nebo více instancí DSVM v podsíti DSVM
Postupujte podle pokynů pro přidání DSVM do služby Active Directory.
Připojte sdílenou složku Azure Files k hostování domovského adresáře nebo adresáře poznámkového bloku, aby se váš pracovní prostor mohl připojit na libovolném počítači. Pokud potřebujete úzká oprávnění na úrovni souborů, potřebujete systém souborů SÍTĚ [NFS] spuštěný na jednom nebo více virtuálních počítačích.
Vytvořte sdílenou složku Azure Files.
Tuto sdílenou složku připojte k virtuálnímu počítači pro datové vědy (DSVM) s Linuxem. Když v účtu úložiště na webu Azure Portal vyberete Připojit pro sdílenou složku Azure Files, zobrazí se příkaz, který se spustí v prostředí Bash na virtuálním počítači DSVM s Linuxem. Příkaz vypadá takto:
sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmsspPředpokládejme například, že jste připojili sdílenou složku Azure Files do adresáře /data/pracovního prostoru . Teď vytvořte adresáře pro každého uživatele ve sdílené složce:
- /data,pracovní prostor/uživatel1
- /data,pracovní prostor/uživatel2
- aj.
Vytvoření
notebooksadresáře v pracovním prostoru každého uživateleVytvoření symbolických odkazů pro
notebooks$HOME/userx/notebooks/remote
Teď máte uživatele ve vaší instanci Active Directory, která je hostovaná v Azure. Pomocí přihlašovacích údajů služby Active Directory se uživatelé můžou přihlásit k libovolnému počítači DSVM (SSH nebo JupyterHub), který je připojený ke službě Microsoft Entra Domain Services. Vzhledem k tomu, že sdílená složka Azure Files hostuje uživatelský pracovní prostor, mají uživatelé přístup ke svým poznámkovým blokům a dalším pracím z libovolného DSVM, když používají JupyterHub.
Pro automatické škálování můžete pomocí škálovací sady virtuálních počítačů vytvořit fond virtuálních počítačů, které jsou tímto způsobem připojené k doméně, a s připojeným sdíleným diskem. Uživatelé se můžou přihlásit k libovolnému dostupnému počítači ve škálovací sadě virtuálních počítačů a získat přístup ke sdílenému disku, do kterého se ukládají jejich poznámkové bloky.