Konfigurera rot squash-inställningar för Azure Managed Lustre-filsystem
Root squash är en säkerhetsfunktion som hindrar en användare med rotprivilegier på en klient från att komma åt filer i det fjärranslutna Managed Lustre-filsystemet. Den här funktionen uppnås med hjälp av funktionen Lustre nodemap och är en viktig del av att skydda användardata och systeminställningar från manipulering av obetrodda eller komprometterade klienter.
I den här artikeln får du lära dig hur du konfigurerar root squash-inställningar för Azure Managed Lustre-filsystem. Du kan konfigurera inställningar för rot squash via REST API-begäran när klustret skapas eller för ett befintligt kluster.
Förutsättningar
- En Azure-prenumeration. Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
Inställningar för rot squash
Följande tabell beskriver de tillgängliga parametrarna för rootSquashSettings egenskapen, som är tillgänglig för REST API version 2024-03-01 och senare:
| Parameter | Värden | Typ | Description |
|---|---|---|---|
mode |
RootOnly, All, None |
Sträng |
RootOnly: Påverkar endast rotanvändaren i icke-betrodda system. UID och GID på filer krossas till de angivna squashUID och squashGID, respektive.All: Påverkar alla användare på ej betrodda system. UID och GID på filer krossas till den angivna squashUID och squashGID, respektive.
None (standard): Inaktiverar rot squashfunktionen så att ingen squashing av UID och GID utförs för alla användare i något system. |
noSquashNidLists |
Sträng | IP-adresslistor för nätverks-ID (NID) som lagts till i de betrodda systemen. | |
squashUID |
1 - 4294967295 | Integer | Numeriskt värde som användar-ID (UID) är krossat till. |
squashGID |
1 - 4294967295 | Integer | Numeriskt värde som grupp-ID:t (GID) är krossat till. |
status |
Sträng | Squashstatus för filsystem. |
Om du behöver lägga till icke-sammanhängande IP-adresser som betrodda system kan du ange en semikolonavgränsad lista över IP-adresser i parametern noSquashNidLists , som du ser i följande exempel:
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",
Aktivera rot squash när klustret skapas
När du skapar ett Azure Managed Lustre-filsystem kan du aktivera rot squash när klustret skapas.
Följ dessa steg för att aktivera rot squash när klustret skapas:
- Bestäm vilka squashinställningar du vill använda för klustret. Mer information finns i Rot squashinställningar.
- Använd en
PUTbegäran för att skapa ett kluster och inkludera önskaderootSquashSettingsvärden ipropertiesavsnittet i begärandetexten.
I följande exempel visas hur du skapar ett kluster med root squash aktiverat:
Begär syntax:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Begärandetext:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Visa rot squash-inställningar för ett befintligt kluster
Du kan visa rot squash-inställningarna för ett befintligt Azure Managed Lustre-filsystem. Följ dessa steg om du vill visa rot squash-inställningarna för ett befintligt kluster:
- Använd en
GETbegäran för att returnera konfigurationsinformationen för ett befintligt kluster.
I följande exempel visas hur du returnerar ett befintligt kluster:
Begär syntax:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Leta reda på egenskapen i svarstexten rootSquashSettings för att visa de aktuella rot squashinställningarna för klustret.
Ändra rot squash-inställningar för ett befintligt kluster
Du kan ändra rot squash-inställningarna för ett befintligt Azure Managed Lustre-filsystem. Följ dessa steg om du vill ändra rot squashinställningarna för ett befintligt kluster:
- Bestäm vilka squashinställningar du vill ändra eller aktivera för ditt befintliga kluster. Mer information finns i Rot squashinställningar.
- Använd en
PATCHbegäran för att ändra det befintliga klustret och inkludera önskaderootSquashSettingsvärden ipropertiesavsnittet i begärandetexten. Den här åtgärden skriver över alla befintliga root squash-inställningar, så se till att alla inställningar tillhandahålls medPATCHbegäran.
Anta att du måste lägga till ett nytt IP-adressintervall till parametern noSquashNidLists . I följande exempel visas hur du uppdaterar ett befintligt kluster för att lägga till ett nytt IP-adressintervall i parametern noSquashNidLists :
Begär syntax:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Begärandetext:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
I det här exemplet, även om parametrarna mode, squashUIDoch squashGID inte ändras, måste du inkludera dem i begärandetexten PATCH för att undvika att värdena skrivs över.
Inaktivera rot squash för ett befintligt kluster
Du kan inaktivera rot squash för ett befintligt Azure Managed Lustre-filsystem. Så här inaktiverar du rot squash för ett befintligt kluster:
- Använd en
PATCHbegäran för att ändra det befintliga klustret och ange parameternmodetillNonei avsnittet ipropertiesbegärandetexten. Inga andra parametrar krävs.
I följande exempel visas hur du inaktiverar rot squash för ett befintligt kluster:
Begär syntax:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Begärandetext:
"properties": {
"rootSquashSettings": {
"mode": "None"
},
}
Nästa steg
Mer information om Azure Managed Lustre finns i följande artiklar: