Configurer les paramètres de squashing racine pour les systèmes de fichiers Azure Managed Lustre
Root squashing est une fonctionnalité de sécurité qui empêche un utilisateur disposant de privilèges racine sur un client d’accéder aux fichiers sur le système de fichiers Managed Lustre distant. Cette fonctionnalité est obtenue à l’aide de la fonctionnalité nodemap Lustre et est un élément important de la protection des données utilisateur et des paramètres système contre la manipulation par des clients non approuvés ou compromis.
Dans cet article, vous allez apprendre à configurer les paramètres de squashing racine pour les systèmes de fichiers Azure Managed Lustre. Vous pouvez configurer les paramètres de squashing racine via une demande d’API REST lors de la création du cluster ou pour un cluster existant.
Prérequis
- Un abonnement Azure. Si vous ne disposez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Paramètres de squashing racine
Le tableau suivant détaille les paramètres disponibles pour la rootSquashSettings
propriété , qui est disponible pour l’API REST version 2024-03-01 et ultérieure :
Paramètre | Valeurs | Type | Description |
---|---|---|---|
mode |
RootOnly , All , None |
String |
RootOnly : affecte uniquement l’utilisateur racine sur les systèmes non approuvés. L’UID et le GID sur les fichiers sont écrasés sur le fourni squashUID et squashGID , respectivement.All : affecte tous les utilisateurs sur les systèmes non approuvés. L’UID et le GID sur les fichiers sont écrasés sur le fourni squashUID et squashGID , respectivement.
None (par défaut) : désactive la fonctionnalité de squashing racine afin qu’aucun écrasement de l’UID et du GID ne soit effectué pour un utilisateur sur n’importe quel système. |
noSquashNidLists |
String | Listes d’adresses IP d’ID réseau (NID) ajoutées aux systèmes approuvés. | |
squashUID |
1 - 4294967295 | Integer | Valeur numérique à laquelle l’ID utilisateur (UID) est écrasé. |
squashGID |
1 - 4294967295 | Integer | Valeur numérique à laquelle l’ID de groupe (GID) est écrasé. |
status |
String | Squashing status du système de fichiers. |
Si vous devez ajouter des adresses IP non incohérentes en tant que systèmes approuvés, vous pouvez fournir une liste d’adresses IP séparées par des points-virgules dans le noSquashNidLists
paramètre, comme illustré dans l’exemple suivant :
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",
Activer la squashing racine lors de la création du cluster
Lorsque vous créez un système de fichiers Azure Managed Lustre, vous pouvez activer la squashing racine lors de la création du cluster.
Pour activer la squashing racine lors de la création du cluster, procédez comme suit :
- Choisissez les paramètres de squashing racine que vous souhaitez utiliser pour votre cluster. Pour plus d’informations, consultez Paramètres de squashing racine.
- Utilisez une
PUT
requête pour créer un cluster et incluez les valeurs souhaitéesrootSquashSettings
dans laproperties
section du corps de la demande.
L’exemple suivant montre comment créer un cluster avec le squashing racine activé :
Syntaxe de la demande :
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corps de la demande :
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Afficher les paramètres de squashing racine d’un cluster existant
Vous pouvez afficher les paramètres de squashing racine d’un système de fichiers Azure Managed Lustre existant. Pour afficher les paramètres de squashing racine d’un cluster existant, procédez comme suit :
- Utilisez une
GET
demande pour retourner les détails de configuration d’un cluster existant.
L’exemple suivant montre comment retourner un cluster existant :
Syntaxe de la demande :
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Dans le corps de la réponse, recherchez la rootSquashSettings
propriété permettant d’afficher les paramètres de squashing racine actuels pour le cluster.
Modifier les paramètres de squashing racine d’un cluster existant
Vous pouvez modifier les paramètres de squashing racine d’un système de fichiers Azure Managed Lustre existant. Pour modifier les paramètres de squashing racine d’un cluster existant, procédez comme suit :
- Déterminez les paramètres de squashing racine que vous souhaitez modifier ou activer pour votre cluster existant. Pour plus d’informations, consultez Paramètres de squashing racine.
- Utilisez une
PATCH
demande pour modifier le cluster existant et inclure les valeurs souhaitéesrootSquashSettings
dans laproperties
section du corps de la demande. Cette action remplace tous les paramètres de squashing racine existants. Vérifiez donc que tous les paramètres sont fournis avec laPATCH
demande.
Supposons que vous deviez ajouter une nouvelle plage d’adresses IP au noSquashNidLists
paramètre . L’exemple suivant montre comment mettre à jour un cluster existant pour ajouter une nouvelle plage d’adresses IP au noSquashNidLists
paramètre :
Syntaxe de la demande :
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corps de la demande :
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Dans cet exemple, même si les mode
paramètres , squashUID
et squashGID
ne changent pas, vous devez les inclure dans le corps de la PATCH
demande pour éviter le remplacement des valeurs.
Désactiver la squashing racine pour un cluster existant
Vous pouvez désactiver la squashing racine pour un système de fichiers Azure Managed Lustre existant. Pour désactiver la squashing racine pour un cluster existant, procédez comme suit :
- Utilisez une
PATCH
demande pour modifier le cluster existant et définissez lemode
paramètre surNone
dans laproperties
section du corps de la demande. Aucun autre paramètre n’est obligatoire.
L’exemple suivant montre comment désactiver la squashing racine pour un cluster existant :
Syntaxe de la demande :
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corps de la demande :
"properties": {
"rootSquashSettings": {
"mode": "None"
},
}
Étapes suivantes
Pour en savoir plus sur Azure Managed Lustre, consultez les articles suivants :