Gérer la clé d’authentification Linux pour HPC Pack
Important
Pour résoudre la vulnérabilité critique CVE-2025-21198, toutes les clusters HPC Pack 2016 et HPC Pack 2019 Update 2 et les clusters antérieurs doivent immédiatement appliquer les étapes suivantes pour définir une clé d’authentification Linux sur tous les nœuds principaux et tous les nœuds de calcul Linux. Cette inclut tous les clusters qui n’ont pas de nœuds de calcul Linux du tout. Les clusters qui se trouvent exclusivement sur Windows doivent toujours définir la clé d’authentification Linux sur tous les nœuds principaux.
Pour des raisons de compatibilité descendante, le correctif HPC Pack 2019 Update 3 n'PAS générer une clé d’authentification Linux pour les clusters existants afin de ne pas rompre la connectivité entre les nœuds principaux et les nœuds de calcul. Les utilisateurs doivent ajouter manuellement la clé d’authentification Linux à leur cluster et vérifier que leur cluster fonctionne avant la mise à jour vers Update 3.
En outre, tous les clusters HPC Pack 2016 nouvellement installés et HPC Pack 2019 Update 2 et versions antérieures doivent immédiatement appliquer les étapes suivantes pour définir la clé d’authentification Linux sur les nœuds principaux et les nœuds de calcul Linux juste après l’installation. Cela inclut les deux clusters déployés via le programme d’installation et les clusters déployés via modèles ARM.
HpC Pack 2019 Update 3 et les clusters ultérieurs, qu’ils soient déployés via des modèles d’installation ou ARM, définissent ou génèrent des clés d’authentification Linux par défaut pendant l’installation et ne nécessitent donc pas les étapes de résolution suivantes.
La clé d’authentification Linux est une clé pré-partagée entre les nœuds principaux HPC Pack et les nœuds de calcul HPC Pack Linux, ce qui sécurise la communication entre les nœuds principaux et les nœuds de calcul. Il s’agit d’une chaîne de mot de passe qui peut être de n’importe quelle longueur, contenant des caractères alphanumériques ou -, ., _, ~, +, / et = symboles.
Le paramètre de clé d’authentification Linux est géré séparément sur les nœuds principaux et chaque nœud de calcul Linux, et chaque nœud du même cluster doit définir la clé d’authentification Linux sur la même valeur.
Gestion de la clé d’authentification Linux sur les nœuds principaux
Note
HPC Pack 2019 Update 3 et versions ultérieures génèrent automatiquement une nouvelle clé d’authentification Linux aléatoire lors de l’installation de nouveaux clusters, ou utilisent la clé d’authentification Linux spécifiée par l’utilisateur fournie via le modèle ARM authenticationKey paramètre ou le paramètre LinuxAuthenticationKey au programme d’installation sans assistance. Il n’est pas nécessaire d’exécuter les étapes suivantes pour les nœuds principaux des clusters HPC Pack 2019 Update 3 ou ultérieur fraîchement installés.
Toutefois, la mise à jour corrective de clusters HPC Pack 2019 Update 2 ou versions antérieures vers Update 3 et versions ultérieures ne génère pas la clé d’authentification Linux. Les utilisateurs doivent définir la clé d’authentification Linux en suivant les étapes suivantes et vérifier que tous les nœuds de calcul Linux fonctionnent toujours avant d’installer le correctif Update 3.
Note
Le paramètre authenticationKey du modèle ARM ne s’applique pas aux nœuds principaux des clusters HPC Pack 2019 Update 2 ou antérieurs déployés, mais s’applique et se propage à tous les nœuds de calcul Linux déployés, quelle que soit la version du cluster. Les utilisateurs doivent immédiatement définir manuellement la clé d’authentification Linux sur les nœuds principaux des clusters HPC Pack 2019 Update 2 ou antérieurs dès qu’ils sont déployés via le modèle ARM.
Sur chaque nœud principal du cluster HPC Pack, exécutez Update-HpcLinuxAuthenticationKey.ps1 avec le même paramètre AuthenticationKey pour définir ou mettre à jour la clé d’authentification Linux des nœuds principaux. Ce script définit le paramètre de Registre de cluster et met à jour le modèle ARM intégré pour les nœuds Linux IaaS Azure pour la propagation de clé pré-partagée si nécessaire.
Si vous avez besoin de revenir à l’ancien comportement (non sécurisé) à des fins de résolution des problèmes, supprimez l’attribut [ValidateNotNullOrEmpty()] du paramètre AuthenticationKey, puis exécutez le script avec une chaîne vide AuthenticationKey paramètre.
Si vous avez déjà défini la clé d’authentification Linux, exécutez la commande PowerShell suivante pour récupérer la clé d’authentification Linux actuellement définie :
Get-HpcClusterRegistry -PropertyName ClusterAuthenticationKey
Gestion de la clé d’authentification Linux sur les nœuds de calcul Linux
Note
HpC Pack 2019 Update 2 et le script de setup.py des clusters antérieurs pour l’installation du nœud Linux local n’accepte pas le paramètre authenticationKey. Les utilisateurs doivent mettre à jour leur script de setup.py pour effectuer installation locale du nœud de calcul Linux.
Modifiez le fichier de configuration de l’agent de nœud Linux, c’est-à-dire /opt/hpcnodemanager/nodemanager.json et ajoutez ou mettez à jour l’option ClusterAuthenticationKey pour être la clé d’authentification Linux du cluster, identique à celle définie sur votre ou vos nœuds principaux. Par exemple, vous pouvez utiliser la ligne de commande suivante pour modifier la configuration :
# back up the confiugration
cp /opt/hpcnodemanager/nodemanager.json /opt/hpcnodemanager/nodemanager_backup.json
jq '. + {ClusterAuthenticationKey: "your_value_here"}' /opt/hpcnodemanager/nodemanager.json > /opt/hpcnodemanager/nodemanager_updated.json
cat /opt/hpcnodemanager/nodemanager_updated.json > /opt/hpcnodemanager/nodemanager.json
Si vous avez besoin de revenir à l’ancien comportement (non sécurisé) à des fins de résolution des problèmes, définissez ClusterAuthenticationKey sur la chaîne vide "".
Redémarrez le nœud de calcul Linux une fois que la modification ci-dessus est appliquée.