Definir configurações de combinação por squash raiz para sistemas de arquivos lustre gerenciados do Azure
O combinação por squash raiz é um recurso de segurança que impede que um usuário com privilégios raiz em um cliente acesse arquivos no sistema de arquivos lustre gerenciado remoto. Essa funcionalidade é obtida usando o recurso de nodemap Lustre e é uma parte importante da proteção dos dados do usuário e das configurações do sistema contra manipulação por clientes não confiáveis ou comprometidos.
Neste artigo, você aprenderá a definir as configurações de combinação por squash raiz para sistemas de arquivos lustre gerenciados do Azure. Você pode definir as configurações de combinação por squash raiz por meio da solicitação da API REST durante a criação do cluster ou para um cluster existente.
Pré-requisitos
- Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Configurações de combinação por squash raiz
A tabela a seguir detalha os parâmetros disponíveis para a propriedade , que está disponível para a rootSquashSettings API REST versão 2024-03-01 e posterior:
| Parâmetro | Valores | Digite | Descrição |
|---|---|---|---|
mode |
RootOnly, All, None |
String |
RootOnly: afeta apenas o usuário raiz em sistemas não estruturados. UID e GID em arquivos são esmagados para o fornecido squashUID e squashGID, respectivamente.All: afeta todos os usuários em sistemas não estruturados. UID e GID em arquivos são esmagados para os fornecidos squashUID e squashGID, respectivamente.
None(padrão): desabilita o recurso de combinação por squash raiz para que nenhuma combinação de UID e GID seja executada para qualquer usuário em qualquer sistema. |
noSquashNidLists |
Cadeia de caracteres | Listas de endereços IP de ID de rede (NID) adicionadas aos sistemas confiáveis. | |
squashUID |
1 - 4294967295 | Integer | Valor numérico para o qual a ID de usuário (UID) é esmagada. |
squashGID |
1 - 4294967295 | Integer | Valor numérico para o qual a ID do grupo (GID) é esmagada. |
status |
Cadeia de caracteres | Combinação por squash status do sistema de arquivos. |
Se você precisar adicionar endereços IP não contíguos como sistemas confiáveis, poderá fornecer uma lista separada por ponto e vírgula de endereços IP no noSquashNidLists parâmetro , conforme mostrado no exemplo a seguir:
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",
Habilitar combinação por squash raiz durante a criação do cluster
Ao criar um sistema de arquivos Lustre Gerenciado do Azure, você pode habilitar combinação por squash raiz durante a criação do cluster.
Para habilitar combinação por squash raiz durante a criação do cluster, siga estas etapas:
- Decida sobre as configurações de combinação por squash raiz que você deseja usar para o cluster. Para obter mais informações, consulte Configurações de combinação por squash raiz.
- Use uma solicitação
PUTpara criar um cluster e inclua os valores desejadosrootSquashSettingsnapropertiesseção do corpo da solicitação.
O exemplo a seguir mostra como criar um cluster com o combinação por squash raiz habilitado:
Sintaxe de solicitação:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo da solicitação:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Exibir configurações de combinação por squash raiz para um cluster existente
Você pode exibir as configurações de combinação por squash raiz de um sistema de arquivos lustre gerenciado do Azure existente. Para exibir as configurações de combinação por squash raiz de um cluster existente, siga estas etapas:
- Use uma solicitação
GETpara retornar os detalhes de configuração de um cluster existente.
O exemplo a seguir mostra como retornar um cluster existente:
Sintaxe de solicitação:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
No corpo da resposta, localize a rootSquashSettings propriedade para exibir as configurações atuais de combinação por squash raiz do cluster.
Alterar as configurações de combinação por squash raiz de um cluster existente
Você pode alterar as configurações de combinação por squash raiz para um sistema de arquivos lustre gerenciado do Azure existente. Para alterar as configurações de combinação por squash raiz de um cluster existente, siga estas etapas:
- Decida sobre as configurações de combinação por squash raiz que você deseja alterar ou habilitar para o cluster existente. Para obter mais informações, consulte Configurações de combinação por squash raiz.
- Use uma solicitação
PATCHpara modificar o cluster existente e inclua os valores desejadosrootSquashSettingsnapropertiesseção do corpo da solicitação. Essa ação substitui todas as configurações de combinação por squash raiz existentes, portanto, verifique se todas as configurações são fornecidas com a solicitaçãoPATCH.
Digamos que você precise adicionar um novo intervalo de endereços IP ao noSquashNidLists parâmetro . O exemplo a seguir mostra como atualizar um cluster existente para adicionar um novo intervalo de endereços IP ao noSquashNidLists parâmetro :
Sintaxe de solicitação:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo da solicitação:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Neste exemplo, mesmo que os modeparâmetros , squashUIDe squashGID não estejam sendo alterados, você deve incluí-los no corpo da PATCH solicitação para evitar que os valores sejam substituídos.
Desabilitar combinação por squash raiz para um cluster existente
Você pode desabilitar combinação por squash raiz para um sistema de arquivos lustre gerenciado do Azure existente. Para desabilitar combinação por squash raiz para um cluster existente, siga estas etapas:
- Use uma solicitação
PATCHpara modificar o cluster existente e defina omodeparâmetro comoNonenapropertiesseção do corpo da solicitação. Nenhum outro parâmetro é obrigatório.
O exemplo a seguir mostra como desabilitar combinação por squash raiz para um cluster existente:
Sintaxe de solicitação:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo da solicitação:
"properties": {
"rootSquashSettings": {
"mode": "None"
},
}
Próximas etapas
Para saber mais sobre o Lustre Gerenciado do Azure, confira os seguintes artigos: