Megosztás a következőn keresztül:

Ügyfélhozzáférés szabályozása

  • Cikk

Ez a cikk bemutatja, hogyan hozhat létre és alkalmazhat egyéni ügyfélhozzáférés-szabályzatokat a tárolási célokhoz.

Az ügyfélhozzáférés-házirendek szabályozzák, hogy az ügyfelek hogyan csatlakozhatnak a tárolási célexportokhoz. Az ügyfél gazdagépén vagy hálózati szintjén szabályozhatja az olyan dolgokat, mint a gyökérprés és az olvasási/írási hozzáférés.

A rendszer hozzáférési szabályzatokat alkalmaz egy névtérútvonalra, ami azt jelenti, hogy egy NFS-tárolórendszer két különböző exportálásához különböző hozzáférési szabályzatokat használhat.

Ez a funkció olyan munkafolyamatokhoz használható, ahol szabályoznia kell, hogy az ügyfelek különböző csoportjai hogyan férnek hozzá a tárolási célokhoz.

Ha nincs szüksége a tárterület-cél elérésének részletes szabályozására, használhatja az alapértelmezett szabályzatot, vagy testre szabhatja az alapértelmezett szabályzatot további szabályokkal. Ha például a gyorsítótáron keresztül csatlakozó összes ügyfél esetében engedélyezni szeretné a gyökérpréset, szerkesztheti az alapértelmezettként elnevezett szabályzatot a gyökérpréses beállítás hozzáadásához.

Ügyfélelérési szabályzat létrehozása

Szabályzatok létrehozásához és kezeléséhez használja az Azure Portal Ügyfélhozzáférés szabályzatok lapját.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Minden szabályzat szabályokból áll. A szabályok a legkisebb hatókörtől (gazdagéptől) a legnagyobbig (alapértelmezett) sorrendben lesznek alkalmazva a gazdagépekre. A rendszer figyelmen kívül hagyja az első egyezést tartalmazó szabályt, majd a későbbi szabályokat.

Új hozzáférési szabályzat létrehozásához kattintson a + Hozzáférési szabályzat hozzáadása gombra a lista tetején. Adjon nevet az új hozzáférési szabályzatnak, és adjon meg legalább egy szabályt.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

A szakasz további része ismerteti a szabályokban használható értékeket.

Scope

A hatókör kifejezése és a címszűrő együttesen határozza meg, hogy mely ügyfelekre vonatkozik a szabály.

Segítségével megadhatja, hogy a szabály egy adott ügyfélre (gazdagépre), IP-címtartományra (hálózatra) vagy az összes ügyfélre (alapértelmezett) vonatkozik-e.

Válassza ki a szabálynak megfelelő hatókörértéket :

  • Gazdagép – A szabály egy adott ügyfélre vonatkozik
  • Hálózat – A szabály az IP-címek tartományában lévő ügyfelekre vonatkozik
  • Alapértelmezett – A szabály az összes ügyfélre vonatkozik.

A szabályzatok szabályainak kiértékelése ebben a sorrendben történik. Miután egy ügyfél csatlakoztatási kérése megegyezik az egyik szabálysal, a rendszer figyelmen kívül hagyja a többit.

Címszűrő

A Cím szűrő értéke határozza meg, hogy mely ügyfelek egyeznek meg a szabálysal.

Ha a hatókört gazdagépre állítja, a szűrőben csak egy IP-címet adhat meg. A hatókör alapértelmezett beállításához nem adhat meg IP-címeket a Címszűrő mezőben, mert az alapértelmezett hatókör megegyezik az összes ügyféllel.

Adja meg a szabály IP-címét vagy címtartományát. CiDR-jelöléssel (például: 0.1.0.0/16) adjon meg címtartományt.

Hozzáférési szint

Adja meg a hatókörnek és a szűrésnek megfelelő ügyfeleknek adható jogosultságokat.

A beállítások írási /írási, írási vagy nem hozzáférési lehetőségek.

SUID

Jelölje be az SUID jelölőnégyzetet, ha engedélyezni szeretné, hogy a tárban lévő fájlok hozzáféréskor felhasználói azonosítókat állítsanak be.

A SUID általában a felhasználó jogosultságainak ideiglenes növelésére szolgál, hogy a felhasználó elvégezhesse a fájllal kapcsolatos feladatokat.

Alcsatlakozásos hozzáférés

Jelölje be ezt a jelölőnégyzetet, ha lehetővé szeretné tenni, hogy a megadott ügyfelek közvetlenül csatlakoztatják az exportálás alkönyvtárait.

Gyökér squash

Adja meg, hogy a szabálynak megfelelő ügyfelek gyökérpréset állítson-e be.

Ez a beállítás azt szabályozza, hogy az Azure HPC Cache hogyan kezeli a gyökérfelhasználótól érkező kéréseket az ügyfélgépeken. Ha engedélyezve van a gyökérszintű összecsukás, az ügyfél gyökérfelhasználói automatikusan leképeznek egy nem jogosultsággal rendelkező felhasználót, amikor kéréseket küldenek az Azure HPC Cache-ben. Emellett megakadályozza, hogy az ügyfélkérések set-UID engedélybiteket használjanak.

Ha a root squash le van tiltva, az ügyfél gyökérfelhasználója (UID 0) kérése gyökérként továbbítódik egy háttérbeli NFS-tárolórendszernek. Ez a konfiguráció nem megfelelő fájlhozzáférést engedélyezhet.

Az ügyfélkérelmek gyökértartományának beállítása további biztonságot nyújthat a tárolási cél háttérrendszerei számára. Ez akkor lehet fontos, ha olyan NAS-rendszert használ, amely tárolóhelyként van konfigurálva no_root_squash . (További információ: Az NFS storage-cél előfeltételei.)

Ha bekapcsolja a gyökérprés funkciót, meg kell adnia a névtelen azonosító felhasználói értékét is. A portál 0 és 4294967295 közötti egész számértékeket fogad el. (A régi -2 és -1 értékek támogatottak a visszamenőleges kompatibilitás érdekében, de új konfigurációkhoz nem ajánlott.)

Ezek az értékek adott felhasználói értékekre vannak leképezve:

  • -2 vagy 65534 (senki)
  • -1 vagy 65535 (nincs hozzáférés)
  • 0 (nem emelt szintű gyökér)

A tárolórendszer más, speciális jelentéssel rendelkező értékekkel is rendelkezhet.

Hozzáférési szabályzatok frissítése

A hozzáférési szabályzatokat az Ügyfélelérési szabályzatok lapon található táblázatból szerkesztheti vagy törölheti.

Kattintson a szabályzat nevére a szerkesztéshez.

Szabályzat törléséhez jelölje be a lista neve melletti jelölőnégyzetet, majd kattintson a Lista tetején található Törlés gombra. Az "alapértelmezett" nevű szabályzat nem törölhető.

Megjegyzés:

A használatban lévő hozzáférési szabályzatok nem törölhetők. A törlési kísérlet előtt távolítsa el a szabályzatot az azt tartalmazó névtér-elérési utakról.

Következő lépések

  • Hozzáférési szabályzatok alkalmazása a tárolási célok névtérútvonalaiban. További információ : Az összesített névtér beállítása.