Közös identitás beállítása Adattudomány virtuális gépen

Microsoft Azure-beli virtuális gépen vagy Adattudomány virtuális gépen (DSVM) helyi felhasználói fiókokat hozhat létre a virtuális gép kiépítése során. A felhasználók ezután hitelesítik magukat a virtuális gépen az adott felhasználói fiókok hitelesítő adataival. Ha több virtuális gépe van, amelyeket a felhasználóknak el kell érniük, a hitelesítő adatok kezelése nehézkessé válhat. A probléma megoldásához általános felhasználói fiókokat helyezhet üzembe, és kezelheti ezeket a fiókokat egy szabványalapú identitásszolgáltatón keresztül. Ezután egyetlen hitelesítőadat-készlettel több erőforráshoz is hozzáférhet az Azure-ban, beleértve több DSVM-et is.

Az Active Directory egy népszerű identitásszolgáltató. Azure-támogatás felhőszolgáltatásként és helyszíni címtárként is. A Microsoft Entra ID vagy helyi Active Directory használatával hitelesítheti a felhasználókat önálló DSVM-eken vagy DSVM-fürtökön egy Azure-beli virtuálisgép-méretezési csoportban. Ehhez csatlakozik a DSVM-példányokhoz egy Active Directory-tartományhoz.

Ha már rendelkezik Active Directoryval, használhatja közös identitásszolgáltatóként. Ha nem rendelkezik Active Directoryval, futtathat felügyelt Active Directory-példányt az Azure-ban a Microsoft Entra Domain Servicesen keresztül.

A Microsoft Entra ID dokumentációja részletes felügyeleti utasításokat tartalmaz, beleértve a Microsoft Entra ID helyszíni címtárhoz való csatlakoztatásának útmutatását is, ha van ilyen.

Ez a cikk azt ismerteti, hogyan állíthat be teljes körűen felügyelt Active Directory tartományi szolgáltatást az Azure-ban a Microsoft Entra Domain Services használatával. Ezután csatlakoztathatja a DSVM-eket a felügyelt Active Directory-tartományhoz. Ez a módszer lehetővé teszi a felhasználók számára, hogy egy közös felhasználói fiókon és hitelesítő adatokon keresztül hozzáférjenek a DSVM-ek (és más Azure-erőforrások) készletéhez.

Teljes mértékben felügyelt Active Directory-tartomány beállítása az Azure-ban

A Microsoft Entra Domain Services egyszerűvé teszi az identitások kezelését. Teljes körűen felügyelt szolgáltatást biztosít az Azure-ban. Ezen az Active Directory-tartományban kezelheti a felhasználókat és a csoportokat. Az Azure által üzemeltetett Active Directory-tartomány és felhasználói fiókok címtárban való beállításához kövesse az alábbi lépéseket:

1. Az Azure Portalon adja hozzá a felhasználót az Active Directoryhoz:

   1. Jelentkezzen be az Azure Portalra globális rendszergazdaként

   2. Tallózás a Microsoft Entra azonosító>felhasználóinak>összes felhasználója között

   3. Új felhasználó kiválasztása

      Megnyílik a Felhasználó panel, ahogyan az a képernyőképen látható:

      

   4. Adja meg a felhasználó adatait, például a nevet és a felhasználónevet. A felhasználónév tartománynévrészének a kezdeti alapértelmezett tartománynévnek ([tartománynév].onmicrosoft.com) vagy ellenőrzött, nem összevont egyéni tartománynévnek kell lennie, például "contoso.com".

   5. Másolja vagy jegyezze fel a létrehozott felhasználói jelszót. A folyamat befejezése után meg kell adnia ezt a jelszót a felhasználónak

   6. Tetszés szerint megnyithatja és kitöltheti a felhasználó profil-, csoport- vagy címtárszerepkörének adatait.

   7. A Felhasználó csoportban válassza a Létrehozás lehetőséget

   8. A létrehozott jelszó biztonságos elosztása az új felhasználónak, hogy a felhasználó bejelentkezhesse

2. Hozzon létre egy Microsoft Entra Domain Services-példányt. További információért látogasson el a Microsoft Entra Domain Services engedélyezése az Azure Portalon (a "Példány létrehozása és alapbeállítások konfigurálása" című szakaszba). Frissítenie kell a meglévő felhasználói jelszavakat az Active Directoryban, hogy szinkronizálja a jelszót a Microsoft Entra Domain Services szolgáltatásban. Dns-t is fel kell vennie a Microsoft Entra Domain Services szolgáltatásba, az ebben a szakaszban található "Mezők kitöltése az Azure Portal Alapjai ablakában a Microsoft Entra Domain Services-példány létrehozásához" című szakaszban leírtak szerint.

3. Az előző lépés virtuális hálózatának létrehozása és konfigurálása szakaszában hozzon létre egy külön DSVM-alhálózatot a létrehozott virtuális hálózatban

4. Egy vagy több DSVM-példány létrehozása a DSVM alhálózatban

5. Kövesse az utasításokat a DSVM Active Directoryhoz való hozzáadásához

6. Azure Files-megosztás csatlakoztatása az otthoni vagy jegyzetfüzet-címtár üzemeltetéséhez, hogy a munkaterület bármely gépre csatlakoztatható legyen. Ha szoros fájlszintű engedélyekre van szüksége, akkor egy vagy több virtuális gépen futó hálózati fájlrendszerre [NFS] lesz szüksége

   1. Azure Files-megosztás létrehozása.

   2. Csatlakoztassa ezt a megosztást a Linux DSVM-hez. Amikor az Azure Portalon a tárfiókban lévő Azure Files-megosztáshoz a Csatlakozás lehetőséget választja, megjelenik a Linux DSVM bash rendszerhéjában futtatandó parancs. A parancs a következőképpen néz ki:

   sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp
   

7. Tegyük fel például, hogy az Azure Files-megosztást a /data/workspace könyvtárban csatlakoztatta. Most hozzon létre könyvtárakat a megosztás minden felhasználójához:

   • /data/workspace/user1
   • /data/workspace/user2
   • Stb.

   notebooks Címtár létrehozása az egyes felhasználók munkaterületén

8. Szimbolikus hivatkozások létrehozása a következőhöz notebooks : $HOME/userx/notebooks/remote

Most már az Azure-ban üzemeltetett Active Directory-példányban vannak a felhasználók. Az Active Directory hitelesítő adataival a felhasználók bármely olyan DSVM-be (SSH-ba vagy JupyterHubra) bejelentkezhetnek, amely csatlakozik a Microsoft Entra Domain Services szolgáltatáshoz. Mivel egy Azure Files-megosztás üzemelteti a felhasználói munkaterületet, a felhasználók bármely DSVM-ről hozzáférhetnek a jegyzetfüzeteikhez és más munkáikhoz, amikor a JupyterHubot használják.

Az automatikus skálázáshoz virtuálisgép-méretezési csoporttal hozhat létre olyan virtuálisgép-készletet, amely mind ilyen módon csatlakozik a tartományhoz, és a megosztott lemez csatlakoztatva van. A felhasználók bejelentkezhetnek a virtuálisgép-méretezési csoport bármely elérhető gépére, és hozzáférhetnek ahhoz a megosztott lemezhez, amelyen a jegyzetfüzetek mentésre kerülnek.

Következő lépések

• Hitelesítő adatok biztonságos tárolása a felhőbeli erőforrások eléréséhez