Sdílet prostřednictvím

Správa uživatelů clusteru

  • Článek

Existují primárně dva mechanismy pro povolení přístupu k přihlašování k uzlům clusteru – prostřednictvím integrovaného ověřování CycleCloudu nebo integrací uzlů s adresářovou službou, jako je Active Directory nebo LDAP.

Uživatel agenta virtuálního počítače

Každý virtuální počítač Azure spuštěný a spravovaný přes CycleCloud má uživatele s rolí cyclecloud správce, kterého vytvořil agent virtuálního počítače. Privátní klíč SSH pro tohoto uživatele najdete na adrese /opt/cycle_server/.ssh/cyclecloud.pem na aplikačním serveru CycleCloud. Tento klíč se generuje během procesu instalace a je jedinečný pro každou instalaci.

Tento uživatel existuje místně na každém virtuálním počítači a měl by být považován za uživatele služby s přístupem správce. Tento uživatelský účet ale může být užitečný pro účely řešení potíží.

Pokud se chcete připojit k uzlu jako cyclecloud, spusťte následující příkaz:

ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}

Alternativně pomocí rozhraní příkazového řádku CycleCloud:

cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh 
cyclecloud connect [node] -c [cluster] -u cyclecloud

správa uživatelů Built-In

CycleCloud se dodává s integrovaným systémem pro správu uživatelů, který na každém virtuálním počítači vytváří místní uživatelské účty. Tyto místní uživatelské účty se vytvoří pro každého uživatele s oprávněními k přihlášení ke clusteru. Uživatelé s oprávněním správce uzlu budou mít navíc oprávnění správce (sudo) pro každý virtuální počítač v clusteru. Tato oprávnění se dají udělit prostřednictvím vlastnictví clusteru, explicitním sdílením oprávnění ke clusteru nebo přiřazením role uživatelů, která uděluje přístup ke globálnímu přihlášení. Další informace o přiřazování rolí uživatelům najdete v tématu Správa uživatelů v CycleCloudu .

Seznam uživatelů s přihlašovacím přístupem k uzlům se zobrazí na stránce clusteru v části Uživatelé. Výběrem odkazu pro zobrazení se otevře dialogové okno s dalšími informacemi.

Dialogové okno Uživatelé clusteru

Toto dialogové okno zobrazuje jednotlivé uživatele a také stav správy uživatelů na každém jednotlivém uzlu v clusteru. Tady se zobrazí všechny chyby nebo upozornění při konfiguraci uživatelů (například konflikt UID nebo nepovolené uživatelské jméno). Vzhledem k tomu, že se uživatelé spravují jetpackd prostřednictvím procesu démon na každém uzlu, je možné provádět změny spuštěných clusterů.

Přihlášení k uzlům

Ověřování uživatelů je založené na klíči SSH. Veřejný klíč pro každého uživatele s přístupem k přihlášení se získá od odpovídajícího uživatele v CycleCloudu a připraví se do každého virtuálního počítače. Pokud uživatel nemá veřejný klíč, místní uživatelský účet se stále vytvoří, ale uživatel se nebude moct přihlásit, dokud nebude klíč připraven ručně.

Pro clustery se serverem NFS je domovský adresář pro každého uživatele k dispozici v NAS se základním domovským adresářem /shared/home. V případě clusterů bez serveru NFS je základním domovským adresářem /home , který je místní pro každý virtuální počítač clusteru.

Odvolání přístupu

Pokud byl uživateli udělen přístup k přihlášení prostřednictvím sdíleného oprávnění, jednoduše tato sdílená oprávnění odeberte pomocí odkazu Přístup na stránce clusteru. Pokud má uživatel roli Globální Správa uzlu nebo Globální uživatel uzlu, musí správce tyto role odebrat na kartě Uživatelé na stránce Nastavení.

Poznámka

Uživatelské účty se na spuštěných uzlech neodstraní. Místo toho se přihlašovací prostředí pro tyto odvolané uživatelské účty změní na /sbin/nologin. Tím se odepře přístup k dalšímu přihlášení, aniž by se zničila jakákoli data uživatele.

Zakázání systému správy uživatelů Built-In

Integrovaný systém pro správu uživatelů je ve výchozím nastavení povolen při každé instalaci CycleCloud a je to nastavení pro celou instalaci – všechny clustery spravované serverem CycleCloud ho budou mít povolené. Pokud ho chcete zakázat, přejděte na stránce Nastavení do části CycleCloud. Automaticky otevírané okno obsahuje možnost Ověřování uzlu a výběrem možnosti Zakázáno v rozevíracím seznamu zajistíte, že se kromě uživatele agenta virtuálního počítače nebudou vytvářet žádné místní uživatelské účty.

Zakázat ověřování uzlů

Systémy pro správu uživatelů třetích stran

U podnikových produkčních clusterů se doporučuje spravovat přístup uživatelů prostřednictvím adresářové služby, jako je LDAP, Active Directory nebo NIS. Tuto integraci je možné implementovat konfigurací PAM a NSS v imagích virtuálních počítačů používaných v jednotlivých uzlech nebo vytvořením projektů CycleCloud, které se spustí během fáze instalace softwaru každého uzlu.

Azure Doména služby Active Directory Service poskytuje spravovanou službu pro servery Active Directory a pokyny pro připojení k doméně Linuxu najdete tady.