Einrichten einer gemeinsamen Identität für Data Science Virtual Machine

  • Artikel

Auf einer Microsoft Azure-VM oder Data Science-VM (DSVM) erstellen Sie lokale Benutzerkonten bei der VM-Bereitstellung. Benutzerinnen und Benutzer authentifizieren sich dann mit Anmeldeinformationen für diese Benutzerkonten bei der VM. Wenn Sie über mehrere VMs verfügen, auf die Benutzerinnen und Benutzer zugreifen müssen, kann das Verwalten von Anmeldeinformationen schwierig werden. Um dieses Problem zu lösen, können Sie gemeinsame Benutzerkonten bereitstellen und diese Konten über einen auf Standards basierenden Identitätsanbieter verwalten. Dann können Sie einen einzelnen Satz von Anmeldeinformationen für den Zugriff auf mehrere Ressourcen in Azure verwenden, einschließlich mehrerer DSVMs.

Active Directory ist ein beliebter Identitätsanbieter. Azure unterstützt es sowohl als Clouddienst als auch als lokales Verzeichnis. Sie können Microsoft Entra ID oder lokales Active Directory verwenden, um Benutzerkonten auf einer eigenständigen DSVM oder in einem Cluster auf DSVMs in einer Azure-VM-Skalierungsgruppe zu authentifizieren. Dazu verknüpfen Sie die DSVM-Instanzen mit einer Active Directory-Domäne.

Wenn Sie bereits über Active Directory verfügen, können Sie Active Directory als gemeinsamen Identitätsanbieter verwenden. Wenn Sie nicht über Active Directory verfügen, können Sie eine verwaltete Active Directory-Instanz in Azure über Microsoft Entra Domain Servicesausführen.

Die Dokumentation für Microsoft Entra ID bietet detaillierte Anweisungen für die Verwaltung, einschließlich Anleitungen zur Verbindung von Microsoft Entra ID mit Ihrem lokalen Verzeichnis, wenn Sie über ein solches verfügen.

Dieser Artikel beschreibt, wie Sie einen vollständig verwalteten Active Directory-Domänendienst in Azure mithilfe von Microsoft Entra Domain Services einrichten. Anschließend können Sie Ihre DSVMs der verwalteten Active Directory-Domäne hinzufügen. Dieser Ansatz ermöglicht es Benutzerinnen und Benutzern, über ein gemeinsames Benutzerkonto und Anmeldeinformationen auf einen Pool von DSVMs (und andere Azure-Ressourcen) zuzugreifen.

Einrichten einer vollständig verwalteten Active Directory-Domäne in Azure

Microsoft Entra Domain Services macht es einfach, Ihre Identitäten zu verwalten. Er stellt einen vollständig verwalteten Dienst in Azure bereit. In dieser Active Directory-Domäne verwalten Sie Benutzer und Gruppen. Die folgenden Schritte sind zum Einrichten einer in Azure gehosteten Active Directory-Domäne und der Benutzerkonten in Ihrem Verzeichnis erforderlich:

  1. Fügen Sie im Azure-Portal den Benutzer zu Active Directory hinzu:

    1. Melden Sie sich als Globaler Admin beim Azure-Portal an.

    2. Navigieren Sie zu Microsoft Entra ID>Benutzerkonten>Alle Benutzerkonten.

    3. Wählen Sie Neues Benutzerkonto aus.

      Der Bereich Benutzerkonten wird geöffnet, wie in diesem Screenshot gezeigt:

      Screenshot des Bereichs zum Hinzufügen eines Benutzerkontos.

    4. Geben Sie Details zum Benutzerkonto ein, beispielsweise Name und Benutzername. Der Domänennamensteil des Benutzernamens muss entweder der anfängliche Standarddomänenname „[Domänenname].onmicrosoft.com“ oder ein überprüfter, nicht im Verbund konfigurierter benutzerdefinierter Domänenname wie z.B. „contoso.com“ sein.

    5. Kopieren Sie das generierte Benutzerkennwort, oder notieren Sie es auf andere Weise. Sie müssen dieses Kennwort der Benutzerin oder dem Benutzer bereitstellen, nachdem dieser Vorgang abgeschlossen ist.

    6. Optional können Sie die Informationen unter Profil, Gruppen oder Verzeichnisrolle für das Benutzerkonto ausfüllen.

    7. Wählen Sie unter Benutzerkonto die Option Erstellen aus.

    8. Sorgen Sie für eine sichere Übermittlung des generierten Kennworts an die neue Benutzerin oder den neuen Benutzer, damit sich diese oder dieser anmelden kann.

  2. Erstellen Sie eine Microsoft Entra Domain Services-Instanz. Weitere Informationen finden Sie unter Aktivieren von Microsoft Entra Domain Services mithilfe des Azure-Portals (Abschnitt „Erstellen einer Instanz und Konfigurieren grundlegender Einstellungen“). Sie müssen die vorhandenen Benutzerkennwörter in Active Directory aktualisieren, um das Kennwort in Microsoft Entra Domain Services zu synchronisieren. Sie müssen außerdem DNS zu Microsoft Entra Domain Services hinzufügen, wie unter „Ausfüllen der Felder im Fenster „Grundlagen“ des Azure-Portals zum Erstellen einer Instanz von Microsoft Entra Domain Services“ in diesem Abschnitt beschrieben.

  3. Erstellen Sie ein separates DSVM-Subnetz im virtuellen Netzwerk, das im Abschnitt Erstellen und Konfigurieren des virtuellen Netzwerks des vorherigen Schritts erstellt wurde.

  4. Erstellen Sie mindestens eine DSVM-Instanz im DSVM-Subnetz.

  5. Befolgen Sie die Anweisungen zum Hinzufügen der DSVM zu Active Directory.

  6. Binden Sie als Nächstes eine Azure Files-Freigabe zum Hosten Ihres Stamm- oder Notebookverzeichnisses ein, damit Ihr Arbeitsbereich auf jedem Computer eingebunden werden kann. Wenn Sie strenge Berechtigungen auf Dateiebene benötigen, muss NFS (Network File System) auf mindestens einer VM ausgeführt werden.

    1. Erstellen Sie eine Azure Files-Freigabe.

    2. Binden Sie diese Freigabe auf der Linux-DSVM ein. Wenn Sie auf Verbinden für die Azure Files-Freigabe in Ihrem Speicherkonto im Azure-Portal klicken, wird der Befehl angezeigt, der in der Bash-Shell auf der Linux-DSVM ausgeführt werden soll. Der Befehl sieht wie folgt aus:

    sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp

  7. Angenommen, Sie haben die Azure Files-Freigabe z. B. in das Verzeichnis /data/workspace eingebunden. Erstellen Sie jetzt Verzeichnisse für jedes Benutzerkonto in der Freigabe:

    • /data/workspace/user1
    • /data/workspace/user2
    • usw.

    Erstellen Sie ein notebooks-Verzeichnis im Arbeitsbereich der einzelnen Benutzerkonten.

  8. Erstellen Sie symbolische Verknüpfungen für notebooks in $HOME/userx/notebooks/remote.

Jetzt sind die Benutzerkonten in Ihrer Active Directory-Instanz enthalten, die in Azure gehostet wird. Mit Active Directory-Anmeldeinformationen können sich Benutzerinnen und Benutzer bei einer beliebigen DSVM (SSH oder JupyterHub) anmelden, die in Microsoft Entra Domain Services eingebunden ist. Da eine Azure Files-Freigabe den Benutzerarbeitsbereich hostet, können Benutzerinnen und Benutzer von jedem DSVM aus auf ihre Notebooks und andere Arbeiten zugreifen, wenn sie JupyterHub verwenden.

Für die automatische Skalierung können Sie eine VM-Skalierungsgruppe verwenden, um einen Pool von VMs zu erstellen, die alle auf diese Weise zur Domäne hinzugefügt werden und bei denen der freigegebene Datenträger eingebunden ist. Benutzerinnen und Benutzer können sich bei jedem verfügbaren Computer in der VM-Skalierungsgruppe anmelden und besitzen Zugriff auf den freigegebenen Datenträger, auf dem ihre Notebooks gespeichert sind.

Nächste Schritte