Řízení přístupu klientů

  • Článek

Tento článek vysvětluje, jak vytvořit a použít vlastní zásady přístupu klientů pro cíle úložiště.

Zásady přístupu klientů řídí, jak se klienti dají připojit k cílovým exportům úložiště. Můžete řídit věci, jako je squash root a přístup pro čtení a zápis na úrovni klienta nebo sítě.

Zásady přístupu se použijí na cestu k oboru názvů, což znamená, že pro dva různé exporty v systému úložiště NFS můžete použít různé zásady přístupu.

Tato funkce je určená pro pracovní postupy, ve kterých potřebujete řídit, jak různé skupiny klientů přistupují k cílům úložiště.

Pokud nepotřebujete jemně odstupňovanou kontrolu nad cílovým přístupem k úložišti, můžete použít výchozí zásady nebo můžete výchozí zásadu přizpůsobit pomocí dalších pravidel. Pokud například chcete povolit root squash pro všechny klienty, kteří se připojují přes mezipaměť, můžete upravit zásadu s názvem výchozí a přidat nastavení root squash.

Vytvoření zásad přístupu klienta

Na stránce Zásady přístupu klienta na webu Azure Portal můžete vytvářet a spravovat zásady.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Každá zásada se skládá z pravidel. Pravidla se použijí na hostitele v pořadí od nejmenšího oboru (hostitele) po největší (výchozí). První pravidlo, které odpovídá, se použije a novější pravidla se ignorují.

Pokud chcete vytvořit novou zásadu přístupu, klikněte v horní části seznamu na tlačítko + Přidat zásadu přístupu. Pojmenujte novou zásadu přístupu a zadejte alespoň jedno pravidlo.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

Zbytek této části vysvětluje hodnoty, které můžete použít v pravidlech.

Obor

Termín oboru a filtr adres spolupracují a definují klienty ovlivněné pravidlem.

Použijte je k určení, jestli se pravidlo vztahuje na jednotlivého klienta (hostitele), rozsah IP adres (síť) nebo všechny klienty (výchozí).

Vyberte odpovídající hodnotu oboru pro vaše pravidlo:

  • Hostitel – pravidlo se vztahuje na jednotlivého klienta.
  • Síť – pravidlo se vztahuje na klienty v rozsahu IP adres.
  • Výchozí – pravidlo platí pro všechny klienty.

Pravidla v zásadách se vyhodnocují v daném pořadí. Jakmile žádost o připojení klienta odpovídá jednomu pravidlu, ostatní se ignorují.

Filtr adres

Hodnota filtru adresy určuje, kteří klienti odpovídají pravidlu.

Pokud nastavíte obor na hostitele, můžete ve filtru zadat jenom jednu IP adresu. U výchozího nastavení oboru nemůžete do pole Filtru adres zadat žádné IP adresy, protože výchozí obor odpovídá všem klientům.

Zadejte IP adresu nebo rozsah adres pro toto pravidlo. K určení rozsahu adres použijte zápis CIDR (příklad: 0.1.0.0/16).

Úroveň přístupu

Nastavte oprávnění k udělení klientům, kteří odpovídají oboru a filtru.

Možnosti jsou jen pro čtení a zápis, jen pro čtení nebo žádný přístup.

SUID

Zaškrtnutím políčka SUID povolte souborům v úložišti nastavit ID uživatelů při přístupu.

SUID se obvykle používá ke zvýšení oprávnění uživatele dočasně, aby uživatel mohl provést úlohu související s tímto souborem.

Přístup k dílčímu připojení

Zaškrtnutím tohoto políčka povolíte zadaným klientům přímé připojení podadresářů tohoto exportu.

Kořenová squash

Zvolte, zda chcete nastavit root squash pro klienty, kteří odpovídají tomuto pravidlu.

Toto nastavení určuje, jak Azure HPC Cache zpracovává požadavky od kořenového uživatele na klientských počítačích. Pokud je povolen root squash, root uživatelé z klienta se automaticky mapují na uživatele, který není privilegovaný, když odesílají požadavky prostřednictvím služby Azure HPC Cache. Také zabraňuje klientským požadavkům v používání bitů oprávnění set-UID.

Pokud je root squash zakázán, požadavek od kořenového uživatele klienta (UID 0) se předává back-end systému úložiště NFS jako kořen. Tato konfigurace může umožňovat nevhodný přístup k souborům.

Nastavení kořenové squashe pro požadavky klientů může poskytovat dodatečné zabezpečení pro cílové back-endové systémy úložiště. To může být důležité, pokud používáte systém NAS, který je nakonfigurovaný no_root_squash jako cíl úložiště. (Přečtěte si další informacePožadavky na cíl úložiště NFS.)

Pokud zapnete root squash, musíte také nastavit hodnotu uživatele anonymního ID. Portál přijímá celočíselné hodnoty mezi 0 a 4294967295. (Staré hodnoty -2 a -1 jsou podporovány kvůli zpětné kompatibilitě, ale nedoporučuje se pro nové konfigurace.)

Tyto hodnoty se mapují na konkrétní hodnoty uživatele:

  • -2 nebo 65534 (nikdo)
  • -1 nebo 65535 (bez přístupu)
  • 0 (neprivilegovaný kořen)

Váš systém úložiště může mít jiné hodnoty se speciálními významy.

Aktualizace zásad přístupu

Zásady přístupu můžete upravit nebo odstranit z tabulky na stránce Zásady přístupu klienta.

Kliknutím na název zásady ji otevřete pro úpravy.

Pokud chcete odstranit zásadu, zaškrtněte políčko vedle jejího názvu v seznamu a potom klikněte na tlačítko Odstranit v horní části seznamu. Zásady s názvem "default" nemůžete odstranit.

Poznámka:

Nemůžete odstranit zásady přístupu, které se používají. Před pokusem o odstranění zásady odeberte ze všech cest oboru názvů, které ji obsahují.

Další kroky