Verwalten des Linux-Authentifizierungsschlüssels für HPC Pack

Wichtig

Um die kritische Sicherheitsanfälligkeit CVE-2025-21198zu beheben, müssen alle HPC Pack 2016-Cluster und HPC Pack 2019 Update 2 und früheren Clustern sofort die folgenden Schritte anwenden, um einen Linux-Authentifizierungsschlüssel auf allen Kopfknoten und allen Linux-Computeknoten festzulegen. Diese enthält alle Cluster, die über keine Linux-Computeknotenverfügen. Cluster, die ausschließlich unter Windows vorhanden sind, müssen weiterhin den Linux-Authentifizierungsschlüssel auf allen Kopfknoten festlegen.

Aus Gründen der Abwärtskompatibilität der HPC Pack 2019 Update 3 Patcher NICHT einen Linux-Authentifizierungsschlüssel für vorhandene Cluster generieren, um die Verbindung zwischen Kopfknoten und Computeknoten nicht zu unterbrechen. Benutzer müssen den Linux-Authentifizierungsschlüssel manuell zu ihrem Cluster hinzufügen und überprüfen, ob ihr Cluster funktioniert, bevor er auf Update 3 aktualisiert wird.

Darüber hinaus müssen alle neu installierten HPC Pack 2016-Cluster und HPC Pack 2019 Update 2 und früheren Cluster sofort die folgenden Schritte anwenden, um den Linux-Authentifizierungsschlüssel direkt nach der Installation auf den Kopfknoten und Linux-Computeknoten festzulegen. Dazu gehören beide Cluster, die über das Installationsprogramm bereitgestellt werden, und Cluster, die über ARM-Vorlagenbereitgestellt werden.

HPC Pack 2019 Update 3 und höher, unabhängig davon, ob sie über Installationsprogramme oder ARM-Vorlagen bereitgestellt werden, werden während der Installation standardmäßig Linux-Authentifizierungsschlüssel festgelegt oder generiert. Daher sind die folgenden Korrekturschritte nicht erforderlich.

Der Linux-Authentifizierungsschlüssel ist ein vorab gemeinsam genutzter Schlüssel zwischen HPC Pack-Kopfknoten und HPC Pack Linux-Computeknoten, um die Kommunikation zwischen Kopfknoten und Computeknoten zu sichern. Es ist eine Kennwortzeichenfolge, die eine beliebige Länge aufweisen kann, die alphanumerische Zeichen oder -, ., _, ~, +, / und = Symbole enthält.

Die Einstellung des Linux-Authentifizierungsschlüssels wird separat auf Kopfknoten und jedem Linux-Computeknoten verwaltet, und jeder Knoten im selben Cluster muss den Linux-Authentifizierungsschlüssel auf denselben Wert festlegen.

Verwalten des Linux-Authentifizierungsschlüssels auf Kopfknoten(n)

Anmerkung

HPC Pack 2019 Update 3 und höher generieren automatisch einen neuen zufälligen Linux-Authentifizierungsschlüssel bei der Installation neuer Cluster oder verwenden den vom Benutzer angegebenen Linux-Authentifizierungsschlüssel über die authenticationKeyARM-Vorlage Parameter oder den LinuxAuthenticationKey Parameter für das unbeaufsichtigte Installationsprogramm. Es ist nicht erforderlich, die folgenden Schritte für Kopfknoten von frisch installierten HPC Pack 2019 Update 3 oder höher Clustern auszuführen.

Das Patchen vorhandener HPC Pack 2019 Update 2 oder früherer Cluster auf Update 3 und höher würde jedoch nicht den Linux-Authentifizierungsschlüssel generieren. Benutzer sollten den Linux-Authentifizierungsschlüssel gemäß den folgenden Schritten festlegen und sicherstellen, dass alle Linux-Computeknoten noch funktionieren, bevor Sie den Update 3-Patch installieren.

Anmerkung

Der authenticationKey Parameter der ARM-Vorlage gilt nicht für Kopfknoten von bereitgestellten HPC Pack 2019 Update 2 oder früheren Clustern, wird jedoch unabhängig von der Clusterversion auf alle bereitgestellten Linux-Computeknoten angewendet und verteilt. Benutzer müssen den Linux-Authentifizierungsschlüssel sofort manuell auf Kopfknoten von HPC Pack 2019 Update 2 oder früheren Clustern festlegen, sobald sie über ARM-Vorlage bereitgestellt werden.

Führen Sie auf jedem Kopfknoten des HPC Pack-Clusters Update-HpcLinuxAuthenticationKey.ps1 mit demselben AuthenticationKey Parameter aus, um den Linux-Authentifizierungsschlüssel von Headknoten festzulegen oder zu aktualisieren. Dieses Skript würde die Clusterregistrierungseinstellung festlegen und die integrierte ARM-Vorlage für Azure IaaS Linux-Knoten für die vorab freigegebene Schlüsselverteilung bei Bedarf aktualisieren.

Falls Sie feststellen, dass Sie zum alten (unsicheren) Verhalten zurückkehren müssen, entfernen Sie das [ValidateNotNullOrEmpty()] Attribut des AuthenticationKey Parameters, und führen Sie das Skript mit einer leeren Zeichenfolge AuthenticationKey Parameter aus.

Wenn Sie den Linux-Authentifizierungsschlüssel bereits festgelegt haben, führen Sie den folgenden PowerShell-Befehl aus, um den aktuell festgelegten Linux-Authentifizierungsschlüssel abzurufen:

Get-HpcClusterRegistry -PropertyName ClusterAuthenticationKey

Verwalten des Linux-Authentifizierungsschlüssels auf Linux-Computeknoten

Anmerkung

HPC Pack 2019 Update 2 und frühere Clusterskripts für setup.py lokale Linux-Knoteninstallation akzeptieren den authenticationKey Parameter nicht. Benutzer müssen ihr setup.py Skript aktualisieren, um lokalen Linux-Computeknoteninstallationdurchzuführen.

Bearbeiten Sie die Konfigurationsdatei des Linux-Knoten-Agents, d. h. /opt/hpcnodemanager/nodemanager.json, und fügen Oder aktualisieren Sie die Option ClusterAuthenticationKey, um den Linux-Authentifizierungsschlüssel des Clusters zu sein, identisch mit dem, der auf Ihren Kopfknoten(n) festgelegt ist. Sie können beispielsweise die folgende Befehlszeile verwenden, um die Konfiguration zu ändern:

# back up the confiugration
cp /opt/hpcnodemanager/nodemanager.json /opt/hpcnodemanager/nodemanager_backup.json
jq '. + {ClusterAuthenticationKey: "your_value_here"}' /opt/hpcnodemanager/nodemanager.json > /opt/hpcnodemanager/nodemanager_updated.json
cat /opt/hpcnodemanager/nodemanager_updated.json > /opt/hpcnodemanager/nodemanager.json

Falls Sie feststellen, dass Sie zum alten (unsicheren) Verhalten für Problembehandlungszwecke zurückkehren müssen, legen Sie ClusterAuthenticationKey auf die leere Zeichenfolge ""fest.

Starten Sie den Linux-Computeknoten neu, sobald die oben genannte Änderung angewendet wurde.