Udostępnij za pośrednictwem

Kontrolowanie dostępu klienta

  • Artykuł

W tym artykule wyjaśniono, jak utworzyć i zastosować niestandardowe zasady dostępu klienta dla celów magazynu.

Zasady dostępu klienta kontrolują sposób, w jaki klienci mogą łączyć się z eksportami docelowymi magazynu. Możesz kontrolować takie elementy jak root squash i dostęp do odczytu/zapisu na hoście klienta lub na poziomie sieci.

Zasady dostępu są stosowane do ścieżki przestrzeni nazw, co oznacza, że można użyć różnych zasad dostępu dla dwóch różnych eksportów w systemie magazynu NFS.

Ta funkcja jest przeznaczona dla przepływów pracy, w których należy kontrolować, jak różne grupy klientów uzyskują dostęp do miejsc docelowych magazynu.

Jeśli nie potrzebujesz szczegółowej kontroli nad dostępem docelowym magazynu, możesz użyć zasad domyślnych lub dostosować domyślne zasady przy użyciu dodatkowych reguł. Jeśli na przykład chcesz włączyć root squash dla wszystkich klientów łączących się za pośrednictwem pamięci podręcznej, możesz edytować zasady o nazwie domyślne , aby dodać ustawienie głównego squasha.

Tworzenie zasad dostępu klienta

Użyj strony Zasady dostępu klienta w witrynie Azure Portal, aby utworzyć zasady i zarządzać nimi.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Każda zasada składa się z reguł. Reguły są stosowane do hostów w kolejności od najmniejszego zakresu (hosta) do największego (domyślnego). Pierwsza reguła zgodna z regułami jest stosowana, a późniejsze reguły są ignorowane.

Aby utworzyć nowe zasady dostępu, kliknij przycisk + Dodaj zasady dostępu w górnej części listy. Nadaj nowe zasady dostępu nazwę i wprowadź co najmniej jedną regułę.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

W pozostałej części tej sekcji opisano wartości, których można użyć w regułach.

Zakres

Termin zakresu i filtr adresów współpracują ze sobą w celu zdefiniowania klientów, których dotyczy reguła.

Użyj ich, aby określić, czy reguła ma zastosowanie do pojedynczego klienta (hosta), zakresu adresów IP (sieci) lub wszystkich klientów (ustawienie domyślne).

Wybierz odpowiednią wartość zakresu dla reguły:

  • Host — reguła dotyczy pojedynczego klienta
  • Sieć — reguła dotyczy klientów w zakresie adresów IP
  • Ustawienie domyślne — reguła ma zastosowanie do wszystkich klientów.

Reguły w zasadach są oceniane w tej kolejności. Gdy żądanie instalacji klienta jest zgodne z jedną regułą, pozostałe są ignorowane.

Filtr adresów

Wartość filtru Adres określa, którzy klienci są zgodni z regułą.

Jeśli ustawisz zakres do hostowania, możesz określić tylko jeden adres IP w filtrze. Dla ustawienia zakresu domyślnego nie można wprowadzić żadnych adresów IP w polu Filtr adresów, ponieważ domyślny zakres jest zgodny ze wszystkimi klientami.

Określ adres IP lub zakres adresów dla tej reguły. Użyj notacji CIDR (na przykład: 0.1.0.0/16), aby określić zakres adresów.

Poziom dostępu

Ustaw uprawnienia, które mają nadać klientom, którzy są zgodni z zakresem i filtrem.

Opcje to odczyt/zapis, tylko do odczytu lub brak dostępu.

SUID

Zaznacz pole SUID, aby zezwolić plikom w magazynie na ustawianie identyfikatorów użytkowników podczas uzyskiwania dostępu.

Identyfikator SUID jest zwykle używany do tymczasowego zwiększenia uprawnień użytkownika, aby użytkownik mógł wykonać zadanie związane z tym plikiem.

Dostęp do podinstalowania

Zaznacz to pole wyboru, aby umożliwić określonym klientom bezpośrednią instalację podkatalogów tego eksportu.

Squash główny

Wybierz, czy chcesz ustawić root squash dla klientów, którzy pasują do tej reguły.

To ustawienie określa sposób, w jaki usługa Azure HPC Cache traktuje żądania od użytkownika głównego na komputerach klienckich. Po włączeniu głównego squasha użytkownicy root z klienta są automatycznie mapowane na nieuprzywilejowanego użytkownika podczas wysyłania żądań za pośrednictwem usługi Azure HPC Cache. Zapobiega to również żądaniom klientów przy użyciu bitów uprawnień set-UID.

Jeśli root squash jest wyłączony, żądanie od użytkownika głównego klienta (UID 0) jest przekazywane do systemu magazynu systemu plików NFS zaplecza jako główny. Ta konfiguracja może zezwalać na nieodpowiedni dostęp do plików.

Ustawienie głównego squasha dla żądań klientów może zapewnić dodatkowe zabezpieczenia dla docelowych systemów zaplecza magazynu. Może to być ważne, jeśli używasz systemu NAS skonfigurowanego no_root_squash jako miejsce docelowe magazynu. (Przeczytaj więcej na temat Wymagania wstępne dotyczące miejsca docelowego magazynu systemu plików NFS).

Jeśli włączysz opcję squasha głównego, musisz również ustawić wartość użytkownika identyfikatora anonimowego. Portal akceptuje wartości całkowite z zakresu od 0 do 4294967295. (Stare wartości -2 i -1 są obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami, ale nie są zalecane w przypadku nowych konfiguracji).

Te wartości są mapowane na określone wartości użytkownika:

  • -2 lub 65534 (nikt)
  • -1 lub 65535 (brak dostępu)
  • 0 (nieuprzywilejowany katalog główny)

System magazynu może mieć inne wartości ze specjalnymi znaczeniami.

Aktualizowanie zasad dostępu

Zasady dostępu można edytować lub usuwać z tabeli na stronie Zasady dostępu klienta.

Kliknij nazwę zasad, aby otworzyć ją do edycji.

Aby usunąć zasady, zaznacz pole wyboru obok jego nazwy na liście, a następnie kliknij przycisk Usuń w górnej części listy. Nie można usunąć zasad o nazwie "default".

Uwaga

Nie można usunąć zasad dostępu, które są używane. Usuń zasady ze wszystkich ścieżek przestrzeni nazw, które zawierają je przed próbą usunięcia.

Następne kroki