Gestão de Utilizadores do Cluster
Existem principalmente dois mecanismos para permitir o acesso de início de sessão a nós de cluster, através da autenticação incorporada do CycleCloud ou através da integração de nós num serviço de diretório, como o Active Directory ou o LDAP.
O Utilizador do Agente da VM
Todas as VMs do Azure iniciadas e geridas através do CycleCloud têm um utilizador administrador com o nome cyclecloud
criado pelo agente da VM. A chave privada SSH para este utilizador pode ser encontrada em /opt/cycle_server/.ssh/cyclecloud.pem no servidor da aplicação CycleCloud. Esta chave é gerada durante o processo de instalação e é exclusiva para cada instalação.
Este utilizador existe localmente em cada VM e deve ser tratado como um utilizador de serviço com acesso de administrador. No entanto, esta conta de utilizador pode ser útil para fins de resolução de problemas.
Para ligar a um nó como cyclecloud
, execute o seguinte comando:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Em alternativa, com a CLI do CycleCloud:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Gestão de Utilizadores do Built-In
O CycleCloud inclui um sistema de gestão de utilizadores incorporado que cria contas de utilizador locais em cada VM. Estas contas de utilizador locais são criadas para cada utilizador com permissões de início de sessão no cluster. Além disso, os utilizadores com a permissão de administrador do nó terão privilégios de administrador (sudo) para cada VM no cluster. Estas permissões podem ser concedidas através da propriedade do cluster, através da partilha explícita de permissões para o cluster ou da atribuição de utilizadores a uma função que concede acesso de início de sessão global. Veja Gestão de Utilizadores do CycleCloud para obter mais informações sobre a atribuição de funções aos utilizadores.
A lista de utilizadores com acesso de início de sessão aos nós é visível na página do cluster em Utilizadores. Selecionar a ligação mostrar abrirá uma caixa de diálogo com mais informações.
Esta caixa de diálogo mostra cada utilizador individual, bem como o estado da gestão de utilizadores em cada nó individual no cluster. Serão apresentados aqui quaisquer erros ou avisos ao configurar utilizadores (como um conflito de UID ou um nome de utilizador não permitido). Uma vez que os utilizadores são geridos através do jetpackd
daemon em cada nó, é possível fazer alterações aos clusters em execução.
Iniciar sessão em Nós
A autenticação do utilizador baseia-se na chave SSH. A chave pública para cada utilizador com acesso de início de sessão é obtida pelo utilizador correspondente no CycleCloud e faseada em cada VM. Se o utilizador não tiver uma chave pública, a conta de utilizador local ainda é criada, mas o utilizador não poderá iniciar sessão até que uma chave seja faseada manualmente.
Para clusters com um servidor NFS, o diretório principal de cada utilizador está disponível no NAS com o diretório base /partilhado/home. Para clusters sem um servidor NFS, o diretório base é /home e é local para cada VM do cluster.
Revogar o Acesso
Se o utilizador tiver acesso de início de sessão através de uma permissão partilhada, basta remover essas permissões partilhadas com a ligação do Access na página do cluster. Se o utilizador tiver a função "Global Node Administração" ou "Global Node User", um administrador tem de remover essas funções no separador utilizadores da página Definições.
Nota
As contas de utilizador não são eliminadas em nós em execução. Em vez disso, a shell de início de sessão destas contas de utilizador revogadas é alterada para /sbin/nologin. Isto nega mais acesso ao início de sessão sem destruir nenhum dos dados do utilizador.
Desativar o Sistema de Gestão de Utilizadores Built-In
O sistema de gestão de utilizadores incorporado está ativado por predefinição em todas as instalações do CycleCloud e é uma definição de toda a instalação – todos os clusters geridos pelo servidor CycleCloud terão esta opção ativada. Para desativar, navegue para a secção CycleCloud da página Definições . A caixa de pop-up contém uma opção para Autenticação de Nó e selecionar Desativado no menu pendente irá garantir que não serão criadas contas de utilizador locais além do utilizador do agente da VM.
Sistemas de Gestão de Utilizadores de Terceiros
Para clusters de produção empresariais, recomenda-se que o acesso do utilizador seja gerido através de um serviço de diretório, como LDAP, Active Directory ou NIS. Esta integração pode ser implementada ao configurar o PAM e o NSS nas imagens de VM utilizadas em cada nó ou ao criar projetos cycleCloud que são executados durante a fase de instalação de software de cada nó.
O Serviço Domínio do Active Directory do Azure fornece um serviço gerido para servidores do Active Directory e as instruções para associar um domínio linux podem ser encontradas aqui.