Compartilhar via

Controlar o acesso do cliente

  • Artigo

Este artigo explica como criar e aplicar políticas de acesso de cliente personalizadas para seus destinos de armazenamento.

As políticas de acesso para cliente controlam como os clientes têm permissão para se conectar às exportações do destino de armazenamento. Você pode controlar coisas como o squash raiz e o acesso de leitura/gravação no host do cliente ou no nível de rede.

As políticas de acesso são aplicadas a um caminho de namespace, o que significa que você pode usar políticas de acesso diferentes para duas exportações diferentes em um sistema de armazenamento NFS.

Esse recurso serve para fluxos de trabalho em que você precisa controlar a maneira como diferentes grupos de clientes acessam os destinos de armazenamento.

Se você não precisar de controle refinado sobre o acesso ao destino de armazenamento, poderá usar a política padrão ou personalizar a política padrão com regras adicionais. Por exemplo, se quiser habilitar o squash raiz para todos os clientes que se conectam por meio do cache, você pode editar a política denominada default para adicionar a configuração de squash raiz.

Criar uma política de acesso do cliente

Use a página Políticas de acesso de cliente no portal do Azure para criar e gerenciar políticas.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Cada política é composta por regras. As regras são aplicadas aos hosts na ordem do menor escopo (host) para o maior (padrão). A primeira regra que corresponde é aplicada e as regras posteriores são ignoradas.

Para criar uma política de acesso, clique no botão + Adicionar política de acesso na parte superior da lista. Dê um nome à nova política de acesso e insira pelo menos uma regra.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

O restante desta seção explica os valores que você pode usar em regras.

Escopo

O termo de escopo e o filtro de endereço funcionam juntos para definir quais clientes são afetados pela regra.

Use-os para especificar se a regra se aplica a um cliente individual (host), a um intervalo de endereços IP (rede) ou a todos os clientes (padrão).

Selecione o valor de Escopo apropriado para sua regra:

  • Host – A regra se aplica a um cliente individual
  • Rede – A regra se aplica aos clientes em um intervalo de endereços IP
  • Padrão – A regra se aplica a todos os clientes.

As regras em uma política são avaliadas nessa ordem. Depois que uma solicitação de montagem de cliente corresponde a uma regra, as outras são ignoradas.

Filtro de endereço

O valor do Filtro de endereço especifica quais clientes correspondem à regra.

Se você definir o escopo como host, poderá especificar apenas um endereço IP no filtro. Para a configuração de escopo padrão, você não pode inserir nenhum endereço IP no campo de Filtro de endereço porque o escopo padrão corresponde a todos os clientes.

Especifique o endereço IP ou o intervalo de endereços para esta regra. Use a notação CIDR (exemplo: 0.1.0.0/16) para especificar um intervalo de endereços.

Nível de acesso

Defina quais privilégios conceder aos clientes que correspondem ao escopo e ao filtro.

As opções são leitura/gravação, somente leitura ou sem acesso.

SUID

Marque a caixa SUID para permitir que os arquivos no armazenamento definam IDs de usuário mediante o acesso.

A opção SUID normalmente é usada para aumentar temporariamente os privilégios de um usuário, de modo que ele possa realizar uma tarefa relacionada a um arquivo específico.

Acesso de submontagem

Marque esta caixa para permitir que os clientes especificados montem diretamente os subdiretórios desta exportação.

Squash raiz

Escolha se deseja ou não definir o squash raiz para clientes que correspondem a essa regra.

Essa configuração controla como o Azure HPC Cache trata as solicitações do usuário raiz em computadores cliente. Quando o squash raiz está habilitado, os usuários raiz de um cliente são mapeados automaticamente para um usuário sem privilégios quando enviam solicitações por meio do Azure HPC Cache. Isso também impede que solicitações de cliente usem bits de permissão set-UID.

Se o squash raiz estiver desabilitado, uma solicitação do usuário raiz do cliente (UID 0) será passada para um sistema de armazenamento NFS de back-end como raiz. Essa configuração pode permitir o acesso indevido a arquivos.

Configurar o squash raiz para solicitações de cliente pode proteger ainda mais os sistemas de back-end de destino de armazenamento. Isso é importante se você usa um sistema NAS com no_root_squash configurado como destino de armazenamento. (Saiba mais sobre os Pré-requisitos de destino de armazenamento do ADLS-NFS.)

Se você ativar o squash raiz, também deverá definir o valor de usuário da ID anônima. O portal aceita valores inteiros entre 0 e 4294967295. (Os valores antigos -2 e -1 têm suporte para compatibilidade com versões anteriores, mas não são recomendados para novas configurações).

Esses valores são mapeados para valores de usuário específicos:

  • -2 ou 65534 (ninguém)
  • -1 ou 65535 (sem acesso)
  • 0 (raiz sem privilégios)

Seu sistema de armazenamento pode ter outros valores com significados especiais.

Atualizar políticas de acesso

Você pode editar ou excluir políticas de acesso da tabela na página Políticas de acesso de cliente.

Clique no nome da política para abri-la para edição.

Para excluir uma política, marque a caixa de seleção ao lado de seu nome na lista e clique no botão Excluir na parte superior da lista. Não é possível excluir a política denominada "default".

Observação

Não é possível excluir uma política de acesso que está em uso. Remova a política de qualquer caminho de namespace que a inclua antes de tentar exclui-la.

Próximas etapas

  • Aplique políticas de acesso nos caminhos de namespace para seus destinos de armazenamento. Leia Configurar o namespace agregado para saber como fazer isso.