Configuración de una identidad común en una instancia de Data Science Virtual Machine
En una máquina virtual (VM) de Microsoft Azure o una instancia de Data Science Virtual Machine (DSVM), cree cuentas de usuario locales al aprovisionar la máquina virtual. A continuación, los usuarios se autentican en la máquina virtual con credenciales para esas cuentas de usuario. Si tiene varias máquinas virtuales y los usuarios necesitan acceder a ellas, la administración de credenciales puede resultar difícil. Para solucionar el problema, puede implementar cuentas de usuario comunes y administrarlas a través de un proveedor de identidades basado en estándares. A continuación, puede usar un único conjunto de credenciales para acceder a varios recursos en Azure, incluidas varias instancias de Data Science Virtual Machine.
Active Directory es un proveedor de identidades popular. Azure lo admite como servicio en la nube y como directorio local. Puede usar Microsoft Entra ID o Active Directory local para autenticar a los usuarios en una máquina virtual DSVM independiente o un clúster de DSVM en un conjunto de escalado de máquinas virtuales de Azure. Para ello, una las instancias de DSVM a un dominio de Active Directory.
Si ya tiene una instancia de Active Directory, puede usarla como proveedor de identidad común. Si no tiene Active Directory, puede ejecutar una instancia de Active Directory administrada en Azure mediante Microsoft Entra Domain Services.
La documentación de Microsoft Entra ID proporciona instrucciones de administración detalladas, incluidas instrucciones sobre cómo conectar Microsoft Entra ID al directorio local, si tiene uno.
En este artículo se describe cómo configurar un servicio de dominio de Active Directory completamente administrado en Azure mediante Microsoft Entra Domain Services. Después, puede unir su máquina DSVM al dominio de Active Directory administrado. Este enfoque permite a los usuarios tener acceso a un grupo de máquinas de DSVM (y otros recursos de Azure) a través de una cuenta de usuario y unas credenciales comunes.
Configuración de un dominio de Active Directory completamente administrado en Azure
Microsoft Entra Domain Services facilita la administración de las identidades. Proporciona un servicio totalmente administrado en Azure. En este dominio de Active Directory, se administran usuarios y grupos. Para configurar un dominio de Active Directory hospedado en Azure y las cuentas de usuarios de su directorio, siga estos pasos:
En Azure Portal, agregue el usuario a Active Directory:
Inicie sesión en Azure Portal como Administrador de roles con privilegios
Vaya a Microsoft Entra ID>Usuarios>Todos los usuarios.
Seleccione Nuevo usuario.
Se abre el panel Usuario, como se muestra en esta captura de pantalla:
Escriba información sobre el usuario, como el Nombre y Nombre de usuario. La parte del nombre de dominio del nombre de usuario debe ser el nombre de dominio del nombre de dominio predeterminado inicial "[nombre de dominio].onmicrosoft.com" o un nombre de dominio personalizado comprobado y no federado, como "contoso.com".
Copie o anote la contraseña de usuario generada. Debe proporcionar esta contraseña al usuario una vez completado este proceso.
También puede abrir y rellenar la información de Perfil, Grupos o Rol de directorio del usuario.
En Usuario, seleccione Crear.
Distribuya de manera segura la contraseña generada al nuevo usuario para que pueda iniciar sesión.
Cree una instancia de Microsoft Entra Domain Services. En el recurso Habilitar Microsoft Entra Domain Services mediante Azure Portal, visite la sección Crear una instancia y configurar las opciones básicas para obtener más información. Debe actualizar las contraseñas de usuario existentes en Active Directory para sincronizar la contraseña en Microsoft Entra Domain Services. También debe agregar DNS a Microsoft Entra Domain Services, como se describe en Completar los campos de la ventana Aspectos básicos de Azure Portal para crear una instancia de Microsoft Entra Domain Services en esa sección.
En la sección Creación y configuración de la red virtual del paso anterior, cree una subred de DSVM independiente en la red virtual creada
Cree una o varias instancias de DSVM en la subred de DSVM.
Siga las instrucciones para agregar DSVM a Active Directory.
Monte un recurso compartido de Azure Files para hospedar su directorio particular o de cuaderno de forma que el área de trabajo se pueda montar en cualquier máquina. Si necesita permisos de nivel de archivo estrictos, necesita un Sistema de archivos de red [NFS] que se ejecute en una o varias máquinas virtuales.
Monte este recurso compartido en la instancia de DSVM de Linux. Al seleccionar Conectar para el recurso compartido de Azure Files en la cuenta de almacenamiento en Azure Portal, se muestra el comando para la ejecución en el shell de Bash en la instancia de DSVM de Linux. El comando tiene este aspecto:
sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp
Supongamos que ha montado el recurso compartido de Azure Files en el directorio /data/workspace, por ejemplo. Ahora, cree directorios para cada uno de los usuarios del recurso compartido:
- /data/workspace/user1
- /data/workspace/user2
- etc.
Crear un directorio
notebooks
en el área de trabajo de cada usuarioCrear vínculos simbólicos para
notebooks
en$HOME/userx/notebooks/remote
Ahora tendrá a los usuarios en la instancia de Active Directory, que se hospeda en Azure. Con las credenciales de Active Directory, los usuarios pueden iniciar sesión en cualquier Data Science VM (SSH o JupyterHub) unida a Microsoft Entra Domain Services. Dado que un recurso compartido de Azure Files hospeda el área de trabajo de usuario, los usuarios pueden acceder a sus cuadernos y a otros trabajos desde cualquier DSVM cuando usan JupyterHub.
Para el escalado automático, puede usar un conjunto de escalado de máquinas virtuales para crear un grupo de máquinas virtuales, todas ellas unidas al dominio de esta forma y con el disco compartido montado. Los usuarios pueden iniciar sesión en cualquier máquina disponible en el conjunto de escalado de máquinas virtuales y tener acceso al disco compartido donde se guardan sus cuadernos.