共用方式為

控制用戶端存取

  • 發行項

本文說明如何為儲存體目標建立和套用自訂用戶端存取原則。

用戶端存取原則可控制用戶端如何連線到儲存體目標匯出。 您可以在用戶端主機或網路層級控制根壓縮和讀取/寫入存取之類的行為。

存取原則會套用至命名空間路徑,這表示 NFS 儲存系統上的兩個匯出可以使用不同的存取原則。

當您必須在工作流程中控制不同用戶端群組存取儲存目標時,即可使用這項功能。

如果您對儲存目標存取不需要掌握更精細的控制權,則可以使用預設原則,或使用額外的規則來自訂預設原則。 例如,如果您想要為透過快取建立連線的所有用戶端啟用根壓縮,可以編輯名為 default 的原則以新增根壓縮設定。

建立用戶端存取原則

在 Azure 入口網站中使用 [用戶端存取原則] 頁面來建立和管理原則。

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

每個原則都是由規則所組成。 規則會依照最小範圍 (主機) 到最大範圍 (預設) 的順序套用至主機。 系統會套用第一個相符的規則,並忽略之後的規則。

若要建立新的存取原則,請按一下清單頂端的 [+ 新增存取原則] 按鈕。 為新的存取原則指定名稱,並輸入至少一個規則。

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

本節的其餘部分說明您可以在規則中使用的值。

範圍

範圍條件和位址篩選條件一起使用,以定義規則所影響的用戶端。

您可以使用這兩項條件來指定是否將規則套用於個別用戶端 (主機)、特定範圍的 IP 位址 (網路) 或所有用戶端 (預設)。

為您的規則選取適當的範圍

  • 主機 - 此規則會套用至個別用戶端
  • 網路 - 此規則會套用至特定 IP 位址範圍的用戶端
  • 預設 - 此規則會套用至所有用戶端。

系統會依照該順序來評估原則中的規則。 用戶端掛接要求符合一個規則之後,即會忽略其他規則。

位址篩選

位址篩選值會指定哪些用戶端符合規則。

如果您將範圍設定為主機,則只能在篩選條件中指定一個 IP 位址。 若範圍設定為預設,則您無法在 [位址篩選] 欄位中輸入任何 IP 位址,因為預設的符合範圍為所有用戶端。

指定此規則適用的 IP 位址或位址範圍。 使用 CIDR 標記法 (範例:0.1.0.0/16) 以指定位址範圍。

存取層級

設定要對符合範圍和篩選條件的用戶端授與哪些權限。

選項為讀取/寫入唯讀無存取權

SUID

選取 SUID 方塊,表示允許儲存體中的檔案在存取時設定使用者識別碼。

SUID 通常用來暫時增加使用者的權限,讓使用者可以完成與該檔案相關的工作。

子掛接存取

核取此方塊,表示允許指定的用戶端直接掛接此匯出的子目錄。

根壓縮

選擇是否要為符合此規則的用戶端設定根壓縮。

此設定可控制 Azure HPC Cache 如何處理用戶端電腦上根使用者的要求。 啟用根壓縮時,當用戶端的根使用者透過 Azure HPC Cache 傳送要求時,系統會自動將這些使用者對應至不具權限的使用者。 也會防止用戶端要求使用 set-UID 權限位元。

如果已停用根壓縮,用戶端根使用者 (UID 0) 的要求會以 root 身份傳遞至後端 NFS 儲存系統。 此設定可能會允許不適當的檔案存取。

設定用戶端要求的根壓縮可為儲存目標後端系統提供額外的安全性。 如果您使用的 NAS 系統已將 no_root_squash 設定為儲存目標,則這項功能非常重要。 (深入了解 NFS 儲存目標必要條件。)

如果您開啟根壓縮,則還必須設定匿名識別碼使用者值。 入口網站可接受介於 0 到 4294967295 之間的整數值。 (基於回溯相容性,支援舊值 -2 和 -1,但不建議用於新設定。)

這些值會對應至特定的使用者值:

  • -265534 (無使用者)
  • -165535 (無存取權)
  • 0 (不具權限的根使用者)

您的儲存系統可能有其他特殊意義的值。

更新存取原則

您可以從 [用戶端存取原則] 頁面中的資料表編輯或刪除存取原則。

按一下原則名稱加以開啟,以便編輯。

若要刪除原則,請在清單中標示其名稱旁的核取方塊,然後按一下清單頂端的 [刪除] 按鈕。 您無法刪除名為「default」的原則。

注意

您無法刪除正在使用中的存取原則。 在嘗試刪除原則之前,請先從含有該原則的任何命名空間路徑中移除原則。

下一步