Compartilhar via

Gerenciar a chave de autenticação do Linux para hpc pack

  • Artigo

Importante

Para resolver a vulnerabilidade crítica CVE-2025-21198, todos os clusters do HPC Pack 2016 e do HPC Pack 2019 Atualização 2 e clusters anteriores devem aplicar imediatamente as etapas a seguir para definir uma chave de autenticação do Linux em todos os nós de cabeçalho e em todos os nós de computação do Linux. Esse inclui todos os clusters que não têm nós de computação do Linux. Os clusters que estão exclusivamente no Windows ainda precisam definir a chave de autenticação do Linux em todos os nós principais.

Por motivos de compatibilidade com versões anteriores, o patcher do HPC Pack 2019 Atualização 3 NÃO gerar uma chave de autenticação do Linux para clusters existentes, a fim de não interromper a conectividade entre nós de cabeçalho e nós de computação. Os usuários devem adicionar manualmente a chave de autenticação do Linux ao cluster e verificar se o cluster está funcionando antes de atualizar para a Atualização 3.

Além disso, todos os clusters recém-instalados do HPC Pack 2016 e do HPC Pack 2019 Atualização 2 e clusters anteriores devem aplicar imediatamente as etapas a seguir para definir a chave de autenticação do Linux nos nós de computação do Linux e dos nós de cabeçalho logo após a instalação. Isso inclui clusters implantados por meio do instalador e clusters implantados por meio modelos do ARM.

O HPC Pack 2019 Atualização 3 e os clusters posteriores, implantados por meio de modelos de instalador ou ARM, definirão ou gerarão chaves de autenticação do Linux por padrão durante a instalação e, portanto, não exigirão as seguintes etapas de correção.

A chave de autenticação do Linux é uma chave pré-compartilhada entre nós de cabeçalho do HPC Pack e nós de computação linux do HPC Pack, protegendo a comunicação entre nós principais e nós de computação. É uma cadeia de caracteres de senha que pode ter qualquer comprimento, contendo caracteres alfanuméricos ou -, ., _, ~, +, / e símbolos =.

A configuração da chave de autenticação do Linux é mantida separadamente nos nós principais e em cada nó de computação do Linux, e cada nó no mesmo cluster precisa definir a chave de autenticação do Linux com o mesmo valor.

Gerenciando a chave de autenticação do Linux em nós de cabeçalho

Nota

O instalador do HPC Pack 2019 Atualização 3 e posterior gerará automaticamente uma nova chave de autenticação aleatória do Linux durante a instalação de novos clusters ou usará a chave de autenticação do Linux especificada pelo usuário fornecida por meio do parâmetrode modelo do ARM authenticationKey ou o parâmetro LinuxAuthenticationKey para o instalador autônomo. Não é necessário executar as etapas a seguir para nós principais de clusters do HPC Pack 2019 Atualização 3 ou posterior recém-instalados.

No entanto, a aplicação de patch de clusters existentes do HPC Pack 2019 Atualização 2 ou anteriores para a Atualização 3 e posterior não geraria a chave de autenticação do Linux. Os usuários devem definir a chave de autenticação do Linux de acordo com as etapas a seguir e verificar se os nós de computação do Linux ainda estão funcionando antes de instalar o patch da Atualização 3.

Nota

O parâmetro authenticationKey do modelo ARM não se aplica a nós principais do HPC Pack 2019 Update 2 ou clusters anteriores implantados, mas será aplicado e propagado para todos os nós de computação do Linux implantados, independentemente da versão do cluster. Os usuários devem definir manualmente a chave de autenticação do Linux nos nós principais do HPC Pack 2019 Atualização 2 ou clusters anteriores assim que forem implantados por meio do Modelo do ARM.

Em cada nó principal do cluster HPC Pack, execute Update-HpcLinuxAuthenticationKey.ps1 com o mesmo parâmetro AuthenticationKey para definir ou atualizar a chave de autenticação linux dos nós principais. Esse script definiria a configuração do registro de cluster e atualizaria o modelo interno do ARM para nós linux iaaS do Azure para propagação de chave pré-compartilhada, se necessário.

Caso você precise voltar ao comportamento antigo (inseguro) para fins de solução de problemas, remova o atributo [ValidateNotNullOrEmpty()] do parâmetro AuthenticationKey e execute o script com uma cadeia de caracteres vazia AuthenticationKey parâmetro.

Se você já tiver definido a chave de autenticação do Linux, execute o seguinte comando do PowerShell para recuperar a chave de autenticação do Linux definida no momento:

Get-HpcClusterRegistry -PropertyName ClusterAuthenticationKey

Gerenciando a chave de autenticação do Linux em nós de computação do Linux

Nota

O script de setup.py do HPC Pack 2019 Atualização 2 e anteriores dos clusters para instalação de nó do Linux local não aceita o parâmetro authenticationKey. Os usuários precisariam atualizar script setup.py para executar de instalação de nó de computação do Linux local.

Edite o arquivo de configuração do agente de nó do Linux, ou seja, /opt/hpcnodemanager/nodemanager.json e adicione ou atualize a opção ClusterAuthenticationKey para ser a chave de autenticação do Linux do cluster, igual ao conjunto em seus nós de cabeçalho. Por exemplo, você pode usar a seguinte linha de comando para alterar a configuração:

# back up the confiugration
cp /opt/hpcnodemanager/nodemanager.json /opt/hpcnodemanager/nodemanager_backup.json
jq '. + {ClusterAuthenticationKey: "your_value_here"}' /opt/hpcnodemanager/nodemanager.json > /opt/hpcnodemanager/nodemanager_updated.json
cat /opt/hpcnodemanager/nodemanager_updated.json > /opt/hpcnodemanager/nodemanager.json

Caso você precise voltar ao comportamento antigo (inseguro) para fins de solução de problemas, defina ClusterAuthenticationKey para a cadeia de caracteres vazia "".

Reinicie o nó de computação do Linux depois que a alteração acima for aplicada.