Konfigurace nastavení root squash pro systémy souborů Azure Managed Lustre
Root squash je funkce zabezpečení, která brání uživateli s oprávněními root v klientovi v přístupu k souborům ve vzdáleném systému souborů Spravované Lustre. Tato funkce se dosahuje pomocí funkce Lustre nodemap a je důležitou součástí ochrany uživatelských dat a nastavení systému před manipulací nedůvěryhodnými nebo ohroženými klienty.
V tomto článku se dozvíte, jak nakonfigurovat nastavení root squash pro systémy souborů Azure Managed Lustre. Nastavení root squash můžete nakonfigurovat prostřednictvím požadavku rozhraní REST API při vytváření clusteru nebo pro existující cluster.
Požadavky
- Předplatné Azure. Pokud předplatné Azure ještě nemáte, napřed si vytvořte bezplatný účet.
Nastavení omezení kořene
Následující tabulka podrobně popisuje dostupné parametry pro rootSquashSettings vlastnost, která je k dispozici pro rozhraní REST API verze 2024-03-01 a novější:
| Parametr | Hodnoty | Typ | Description |
|---|---|---|---|
mode |
RootOnly, All, None |
Řetězec |
RootOnly: Ovlivňuje pouze uživatele root v nedůvěryhodných systémech. UID a GID u souborů jsou vymačkovány na poskytnuté squashUID a squashGID, vAll uvedeném pořadí: Ovlivňuje všechny uživatele v nedůvěryhodných systémech. UID a GID u souborů se u souborů přetáhnou na poskytnuté squashUID soubory a squashGID, v uvedeném pořadí.
None (výchozí): Zakáže funkci "root squash" tak, aby se u žádného uživatele v libovolném systému neprovádělo žádné udání identifikátorů UID a GID. |
noSquashNidLists |
Řetězec | Seznamy IP adres s ID sítě (NID) přidané do důvěryhodných systémů. | |
squashUID |
1 - 4294967295 | Integer | Číselná hodnota, na kterou je ID uživatele (UID) nastaveno. |
squashGID |
1 - 4294967295 | Integer | Číselná hodnota, na kterou je ID skupiny (GID) nastaveno. |
status |
Řetězec | Stav squashu systému souborů. |
Pokud potřebujete přidat nesouvislé IP adresy jako důvěryhodné systémy, můžete v noSquashNidLists parametru zadat seznam IP adres oddělený středníkem, jak je znázorněno v následujícím příkladu:
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",
Povolení root squash během vytváření clusteru
Když vytváříte systém souborů Azure Managed Lustre, můžete během vytváření clusteru povolit zamření kořene.
Pokud chcete při vytváření clusteru povolit root squash, postupujte takto:
- Rozhodněte se o nastavení root squashu, které chcete pro cluster použít. Další informace najdete v tématu Nastavení root squash.
-
PUTPomocí požadavku vytvořte cluster a dopropertiesčásti textu požadavku zahrňte požadovanérootSquashSettingshodnoty.
Následující příklad ukazuje, jak vytvořit cluster s povoleným root squashem:
Syntaxe požadavku:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Text požadavku:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Zobrazení nastavení omezení přístupu uživatele root pro existující cluster
Můžete zobrazit nastavení root squash pro existující systém souborů Azure Managed Lustre. Pokud chcete zobrazit nastavení root squash pro existující cluster, postupujte takto:
- K vrácení podrobností o konfiguraci existujícího
GETclusteru použijte požadavek.
Následující příklad ukazuje, jak vrátit existující cluster:
Syntaxe požadavku:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
V textu odpovědi vyhledejte rootSquashSettings vlastnost pro zobrazení aktuálního nastavení root squash pro cluster.
Změna nastavení root squash pro existující cluster
Můžete změnit nastavení root squash pro existující systém souborů Azure Managed Lustre. Chcete-li změnit nastavení root squash pro existující cluster, postupujte takto:
- Rozhodněte se o nastavení root squash, které chcete změnit nebo povolit pro stávající cluster. Další informace najdete v tématu Nastavení root squash.
-
PATCHPomocí požadavku upravte existující cluster a dopropertiesčásti textu požadavku zahrňte požadovanérootSquashSettingshodnoty. Tato akce přepíše všechna existující nastavení root squash, takže se ujistěte, že jsou součástíPATCHpožadavku všechna nastavení.
Řekněme, že do parametru noSquashNidLists potřebujete přidat nový rozsah IP adres. Následující příklad ukazuje, jak aktualizovat existující cluster tak, aby do parametru noSquashNidLists přidal nový rozsah IP adres:
Syntaxe požadavku:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Text požadavku:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
I když se parametry , squashUIDa squashGID v tomto příkladu modenemění, musíte je zahrnout do PATCH textu požadavku, aby se hodnoty nepřepsaly.
Zakázání kořenového přístupu u existujícího clusteru
U existujícího systému souborů Azure Managed Lustre můžete zakázat root squash. Pokud chcete zakázat omezení přístupu root u existujícího clusteru, postupujte takto:
-
PATCHPomocí požadavku upravte existující cluster a vpropertiesčásti textu požadavku nastavtemodeparametr naNone. Nejsou vyžadovány žádné další parametry.
Následující příklad ukazuje, jak zakázat root squash pro existující cluster:
Syntaxe požadavku:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Text požadavku:
"properties": {
"rootSquashSettings": {
"mode": "None"
},
}
Další kroky
Další informace o službě Azure Managed Lustre najdete v následujících článcích: