Управление доступом клиентов
В этой статье объясняется, как создать и применить настраиваемые политики клиентского доступа для целевых объектов хранилища.
Политики клиентского доступа определяют, как клиенты могут подключаться к экспортам целевого объекта хранилища. Вы можете управлять такими объектами, как root squash,а также доступом на чтение и запись на узле клиента или на уровне сети.
Политики доступа применяются к пути к пространству имен. Это означает, что можно использовать разные политики доступа для двух различных операций экспорта в системе хранения NFS.
Эта функция предназначена для рабочих процессов, где необходимо контролировать, как разные группы клиентов обращаются к целевым объектам хранилища.
Если вам не требуется детальный контроль доступа к целевому хранилищу, можно использовать политику по умолчанию или настроить политику по умолчанию с дополнительными правилами. Например, если требуется включить root squash для всех клиентов, подключающихся через кэш, можно изменить политику с именем Default, чтобы добавить корневой параметр squash.
Создание политики клиентского доступа
Страница политики клиентского доступа на портале Azure используется для создания политик и управления ими.
Каждая политика состоит из правил. Правила применяются к узлам в порядке от наименьшей области (узла) до самой крупной (по умолчанию). При этом применяется первое правило, соответствующее правилам, и более поздние правила игнорируются.
Чтобы создать новую политику доступа, нажмите кнопку + Добавить политику доступа (+ Add access policy) в верхней части списка. Присвойте новой политике доступа имя и введите по крайней мере одно правило.
В оставшейся части этого раздела объясняются значения, которые можно использовать в правилах.
Область
Термин "область" и фильтр адресов работают вместе, чтобы определить, на какие клиенты влияет это правило.
Используйте их, чтобы указать, применяется ли правило к отдельному клиенту (узлу), диапазону IP-адресов (сеть) или всем клиентам (по умолчанию).
Выберите соответствующее значение области действия для вашего правила:
- Узел (Host) — правило применяется к отдельному клиенту.
- Сеть (Network) — правило применяется к клиентам в диапазоне IP-адресов.
- По умолчанию (Default) — правило применяется ко всем клиентам.
Правила в политике оцениваются в указанном порядке. После того как окажется, что запрос на подключение клиента соответствует одному правилу, остальные игнорируются.
Фильтр адресов
Значение фильтра адресов указывает, какие клиенты соответствуют правилу.
Если для области задано Размещение (host), в фильтре можно указать только один IP-адрес. Для параметра область по умолчанию нельзя ввести IP-адреса в поле фильтр адреса, так как область по умолчанию соответствует всем клиентам.
Укажите IP-адрес или диапазон адресов для этого правила. Используйте нотацию CIDR (пример: 0.1.0.0/16), чтобы указать диапазон адресов.
Уровень доступа
Укажите, какие привилегии следует предоставить клиентам, соответствующим области и фильтру.
Параметры могут быть доступны для чтения и записи, только для чтения либо недоступны.
SUID
Установите флажок SUID, чтобы разрешить задавать ID пользователей при доступе к файлам в хранилище.
SUID обычно используется для временного увеличения привилегий пользователя, чтобы пользователь мог выполнить задачу, связанную с этим файлом.
Доступ для Submount
Установите этот флажок, чтобы разрешить указанным клиентам напрямую подключать подкаталоги экспорта.
Root squash
Выберите, следует ли задавать root squash для клиентов, соответствующих этому правилу.
Этот параметр определяет, как кэш Azure HPC обрабатывает запросы от привилегированного пользователя на клиентских компьютерах. Если параметр root squash включен, корневые пользователи из клиента автоматически сопоставляются с непривилегированным пользователем при отправке запросов через кэш HPC Azure. Кроме того, он не позволяет клиентским запросам использовать биты разрешений Set-UID.
Если параметр root squash отключен, запрос от корневого пользователя клиента (UID 0) передается в серверную систему хранения NFS в качестве корневого каталога. Такая конфигурация может разрешать недопустимый доступ к файлам.
Настройка корневого сквоша для клиентских запросов может обеспечить дополнительную безопасность для целевых серверных систем хранилища. Это может быть важно, если вы используете систему NAS, настроенную в no_root_squash
качестве целевого объекта хранения. (Дополнительные сведения см. в статьеПредварительные требования целевого объекта хранилища NFS.)
При включении root squash необходимо также задать значение пользователя анонимного идентификатора. Портал принимает целочисленные значения от 0 до 4294967295. (Старые значения –2 и –1 поддерживаются для обеспечения обратной совместимости, но не рекомендуются для новых конфигураций.)
Эти значения сопоставлены с конкретными значениями пользователя:
- –2 или 65534 (никто)
- –1 или 65535 (без доступа)
- 0 (непривилегированный корень)
Система хранения может иметь другие значения со специальными значениями.
Обновление политик доступа…
Политики доступа можно изменить или удалить из таблицы на странице Политики клиентского доступа (Client access policies).
Щелкните имя политики, чтобы открыть его для редактирования.
Чтобы удалить политику, установите флажок рядом с ее именем в списке, а затем нажмите кнопку Удалить (Delete) в верхней части списка. Невозможно удалить политику с именем "default".
Примечание.
Нельзя удалить используемую политику доступа. Удалите политику из всех путей к пространству имен, содержащих ее, прежде чем пытаться удалить ее.
Следующие шаги
- Применяйте политики доступа в путях к пространствам имен для целевых объектов хранилища. Чтобы узнать, как это сделать, прочитайте раздел Настройка агрегированного пространства имен.