Configurare le impostazioni dello squash radice per i file system lustre gestiti di Azure
Root squash è una funzionalità di sicurezza che impedisce a un utente con privilegi radice per un client di accedere ai file nel file system lustre gestito remoto. Questa funzionalità viene ottenuta usando la funzionalità Mappa nodi Lustre ed è una parte importante della protezione dei dati utente e delle impostazioni di sistema dalla manipolazione da parte di client non attendibili o compromessi.
Questo articolo illustra come configurare le impostazioni di squash radice per i file system lustre gestiti di Azure. È possibile configurare le impostazioni di squash radice tramite richiesta API REST durante la creazione del cluster o per un cluster esistente.
Prerequisiti
- Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Impostazioni di squash radice
La tabella seguente illustra in dettaglio i parametri disponibili per la rootSquashSettings proprietà, disponibile per l'API REST versione 2024-03-01 e successive:
| Parametro | Valori | Tipo | Description |
|---|---|---|---|
mode |
RootOnly, All, None |
string | RootOnly: influisce solo sull'utente radice nei sistemi non attendibili. UID e GID nei file vengono compressi rispettivamente nell'oggetto specificato squashUID e squashGID.All Influisce su tutti gli utenti nei sistemi non attendibili. UID e GID nei file vengono compressi rispettivamente nell'oggetto specificato squashUID e squashGID.None (impostazione predefinita): disabilita la funzionalità di squash radice in modo che non venga eseguita alcuna modifica dell'UID e del GID per qualsiasi utente in qualsiasi sistema. |
noSquashNidLists |
string | Elenchi di indirizzi IP ID di rete (NID) aggiunti ai sistemi attendibili. | |
squashUID |
1 - 4294967295 | Integer | Valore numerico a cui viene aggiunto l'ID utente (UID). |
squashGID |
1 - 4294967295 | Integer | Valore numerico a cui l'ID gruppo (GID) viene schiacciato. |
status |
string | Stato di squash del file system. |
Se è necessario aggiungere indirizzi IP non contigui come sistemi attendibili, è possibile fornire un elenco separato da punto e virgola di indirizzi IP nel noSquashNidLists parametro , come illustrato nell'esempio seguente:
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",
Abilitare lo squash radice durante la creazione del cluster
Quando si crea un file system lustre gestito di Azure, è possibile abilitare lo squash radice durante la creazione del cluster.
Per abilitare lo squash radice durante la creazione del cluster, seguire questa procedura:
- Decidere le impostazioni di squash radice da usare per il cluster. Per altre informazioni, vedere Impostazioni di squash radice.
- Usare una
PUTrichiesta per creare un cluster e includere i valori desideratirootSquashSettingsnellapropertiessezione del corpo della richiesta.
L'esempio seguente illustra come creare un cluster con root squash abilitato:
Sintassi della richiesta:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo della richiesta:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Visualizzare le impostazioni di squash radice per un cluster esistente
È possibile visualizzare le impostazioni di squash radice per un file system lustre gestito di Azure esistente. Per visualizzare le impostazioni di squash radice per un cluster esistente, seguire questa procedura:
- Usare una
GETrichiesta per restituire i dettagli di configurazione per un cluster esistente.
L'esempio seguente illustra come restituire un cluster esistente:
Sintassi della richiesta:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Nel corpo della risposta trovare la rootSquashSettings proprietà per visualizzare le impostazioni di squash radice correnti per il cluster.
Modificare le impostazioni di root squash per un cluster esistente
È possibile modificare le impostazioni di squash radice per un file system lustre gestito di Azure esistente. Per modificare le impostazioni di squash radice per un cluster esistente, seguire questa procedura:
- Decidere le impostazioni di root squash da modificare o abilitare per il cluster esistente. Per altre informazioni, vedere Impostazioni di squash radice.
- Usare una
PATCHrichiesta per modificare il cluster esistente e includere i valori desideratirootSquashSettingsnellapropertiessezione del corpo della richiesta. Questa azione sovrascrive tutte le impostazioni di squash radice esistenti, quindi assicurarsi che tutte le impostazioni siano fornite con laPATCHrichiesta.
Si supponga di dover aggiungere un nuovo intervallo di indirizzi IP al noSquashNidLists parametro . Nell'esempio seguente viene illustrato come aggiornare un cluster esistente per aggiungere un nuovo intervallo di indirizzi IP al noSquashNidLists parametro :
Sintassi della richiesta:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo della richiesta:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
In questo esempio, anche se i modeparametri , squashUIDe squashGID non cambiano, è necessario includerli nel corpo della PATCH richiesta per evitare che i valori vengano sovrascritti.
Disabilitare lo squash radice per un cluster esistente
È possibile disabilitare lo squash radice per un file system lustre gestito di Azure esistente. Per disabilitare lo squash radice per un cluster esistente, seguire questa procedura:
- Usare una
PATCHrichiesta per modificare il cluster esistente e impostare ilmodeparametro suNonenellapropertiessezione del corpo della richiesta. Non sono necessari altri parametri.
L'esempio seguente illustra come disabilitare lo squash radice per un cluster esistente:
Sintassi della richiesta:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo della richiesta:
"properties": {
"rootSquashSettings": {
"mode": "None"
},
}
Passaggi successivi
Per altre informazioni su Lustre gestito di Azure, vedere gli articoli seguenti: