Bagikan melalui

Mengontrol akses klien

  • Artikel

Artikel ini menjelaskan cara membuat dan menerapkan kebijakan akses klien kustom untuk target penyimpanan Anda.

Kebijakan akses klien mengontrol bagaimana klien diizinkan untuk terhubung ke ekspor target penyimpanan. Anda dapat mengontrol berbagai hal seperti root squash dan akses baca/tulis di host klien atau tingkat jaringan.

Kebijakan akses diterapkan ke jalur kumpulan nama yang berarti Anda dapat menggunakan kebijakan akses yang berbeda untuk dua ekspor yang berbeda pada sistem penyimpanan NFS.

Fitur ini adalah untuk alur kerja tempat Anda perlu mengontrol bagaimana kelompok klien yang berbeda mengakses target penyimpanan.

Jika Anda tidak memerlukan kontrol mendetail terhadap akses target penyimpanan, Anda dapat menggunakan kebijakan default atau Anda dapat menyesuaikan kebijakan default tersebut dengan aturan tambahan. Misalnya, jika Anda ingin mengaktifkan root squash untuk semua klien yang terhubung melalui cache, Anda dapat mengedit kebijakan yang bernama default untuk menambahkan pengaturan root squash.

Membuat kebijakan akses klien

Gunakan halaman Kebijakan akses klien di portal Microsoft Azure untuk membuat dan mengelola kebijakan.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Setiap kebijakan terdiri dari aturan. Aturan diterapkan ke host secara berurutan dari cakupan terkecil (host) hingga yang terbesar (default). Aturan pertama yang cocok akan diterapkan dan aturan selanjutnya akan diabaikan.

Untuk membuat kebijakan akses baru, klik tombol + Tambahkan kebijakan akses di bagian atas daftar. Beri nama untuk kebijakan akses baru dan masukkan setidaknya satu aturan.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

Sisa bagian ini menjelaskan nilai yang dapat Anda gunakan dalam aturan.

Scope

Istilah cakupan dan filter alamat bekerja sama untuk menentukan klien mana yang terpengaruh oleh aturan.

Gunakan mereka untuk menentukan apakah aturan berlaku untuk klien individual (host), rentang alamat IP (jaringan), atau semua klien (default).

Pilih nilai Cakupan yang sesuai untuk aturan Anda:

  • Host - Aturan berlaku untuk klien individual
  • Jaringan - Aturan berlaku untuk klien dalam rentang alamat IP
  • Default - Aturan berlaku untuk semua klien.

Aturan dalam sebuah kebijakan dievaluasi dalam urutan tersebut. Setelah permintaan pemasangan klien cocok dengan satu aturan, yang lain akan diabaikan.

Filter alamat

Nilai filter Alamat menentukan klien mana yang cocok dengan aturan.

Jika Anda mengatur cakupan menjadi host, Anda hanya dapat menentukan satu alamat IP dalam filter. Untuk pengaturan cakupan default, Anda tidak dapat memasukkan alamat IP apa pun di bidang Filter alamat karena cakupan default cocok untuk semua klien.

Tentukan alamat IP atau rentang alamat untuk aturan ini. Gunakan notasi CIDR (misalnya: 0.1.0.0/16) untuk menentukan rentang alamat.

Tingkat akses

Atur hak istimewa apa yang akan diberikan kepada klien yang cocok dengan cakupan dan filter.

Opsinya adalah baca/tulis, hanya baca, atau tanpa akses.

SUID

Centang kotak SUID untuk mengizinkan file di penyimpanan mengatur ID pengguna saat mengakses.

SUID biasanya digunakan untuk meningkatkan hak istimewa pengguna untuk sementara sehingga pengguna dapat menyelesaikan tugas yang terkait dengan file tersebut.

Akses subpemasangan

Centang kotak ini untuk mengizinkan klien yang ditentukan untuk langsung memasang subdirektori ekspor ini.

Root squash

Pilih apakah akan menyetel root squash untuk klien yang cocok dengan aturan ini atau tidak.

Pengaturan ini mengontrol cara Azure HPC Cache memperlakukan permintaan dari pengguna root di mesin klien. Ketika root squash diaktifkan, pengguna root dari klien secara otomatis dipetakan ke pengguna yang tidak istimewa ketika mereka mengirim permintaan melalui Azure HPC Cache. Hal ini juga mencegah permintaan klien dari menggunakan bit izin set-UID.

Jika root squash dinonaktifkan, permintaan dari pengguna root klien (UID 0) akan diteruskan ke sistem penyimpanan NFS ujung belakang sebagai root. Konfigurasi ini mungkin mengizinkan akses file yang tidak sesuai.

Mengatur root squash untuk permintaan klien dapat memberikan keamanan ekstra untuk sistem back-end target penyimpanan Anda. Ini mungkin penting jika Anda menggunakan sistem NAS yang dikonfigurasi dengan no_root_squash sebagai target penyimpanan. (Baca selengkapnya tentang Prasyarat target penyimpanan NFS.)

Jika Anda mengaktifkan root squash, Anda juga harus mengatur nilai pengguna ID anonim. Portal menerima nilai bilangan bulat antara 0 dan 4294967295. (Nilai lama -2 dan -1 masih didukung untuk kompatibilitas mundur, tetapi tidak direkomendasikan untuk konfigurasi baru.)

Nilai ini dipetakan ke nilai pengguna tertentu:

  • -2 atau 65534 (tidak ada)
  • -1 atau 65535 (tanpa akses)
  • 0 (root tidak diistimewakan)

Sistem penyimpanan Anda mungkin memiliki nilai lain dengan arti khusus.

Mengelola kebijakan akses

Anda dapat mengedit atau menghapus kebijakan akses dari tabel di halaman Kebijakan akses klien.

Klik nama kebijakan untuk membukanya untuk pengeditan.

Untuk menghapus kebijakan, tandai kotak centang di samping namanya dalam daftar, lalu klik tombol Hapus di bagian atas daftar. Anda tidak dapat menghapus kebijakan bernama "default".

Catatan

Anda tidak dapat menghapus kebijakan akses yang sedang digunakan. Hapus kebijakan dari jalur kumpulan nama mana pun yang menyertakannya sebelum mencoba untuk menghapusnya.

Langkah berikutnya