Condividi tramite

Gestione utenti cluster

  • Articolo

Esistono principalmente due meccanismi per abilitare l'accesso ai nodi del cluster, tramite l'autenticazione predefinita di CycleCloud o integrando nodi con un servizio directory, ad esempio Active Directory o LDAP.

L'utente dell'agente di macchine virtuali

Ogni macchina virtuale di Azure avviata e gestita tramite CycleCloud ha un utente amministratore denominato cyclecloud creato dall'agente di macchine virtuali. La chiave privata SSH per questo utente è disponibile in /opt/cycle_server/.ssh/cyclecloud.pem nel server applicazioni CycleCloud. Questa chiave viene generata durante il processo di installazione ed è univoca per ogni installazione.

Questo utente esiste in locale in ogni macchina virtuale e deve essere considerato come un utente del servizio con accesso amministratore. Tuttavia, questo account utente può essere utile per la risoluzione dei problemi.

Per connettersi a un nodo come cyclecloud, eseguire il comando seguente:

ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}

In alternativa, usando l'interfaccia della riga di comando di CycleCloud:

cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh 
cyclecloud connect [node] -c [cluster] -u cyclecloud

gestione utenti di Built-In

CycleCloud include un sistema di gestione utenti predefinito che crea account utente locali in ogni macchina virtuale. Questi account utente locali vengono creati per ogni utente con autorizzazioni di accesso per il cluster. Inoltre, gli utenti con l'autorizzazione di amministratore del nodo avranno privilegi di amministratore (sudo) per ogni macchina virtuale nel cluster. Queste autorizzazioni possono essere concesse tramite la proprietà del cluster, condividendo in modo esplicito le autorizzazioni per il cluster o assegnando utenti a un ruolo che concede l'accesso di accesso globale. Per altre informazioni sull'assegnazione dei ruoli agli utenti, vedere CycleCloud User Management .

L'elenco degli utenti con accesso ai nodi è visibile nella pagina del cluster in Utenti. Se si seleziona il collegamento mostra , verrà aperta una finestra di dialogo con altre informazioni.

Finestra di dialogo Utenti cluster

Questa finestra di dialogo mostra ogni singolo utente e lo stato della gestione degli utenti in ogni singolo nodo del cluster. Eventuali errori o avvisi durante la configurazione degli utenti (ad esempio un conflitto UID o un nome utente non consentito) verranno visualizzati qui. Poiché gli utenti vengono gestiti tramite il jetpackd daemon in ogni nodo, è possibile apportare modifiche ai cluster in esecuzione.

Accesso ai nodi

L'autenticazione utente è basata su chiave SSH. La chiave pubblica per ogni utente con accesso di accesso viene ottenuta dall'utente corrispondente in CycleCloud e inserita in staging in ogni macchina virtuale. Se l'utente non dispone di una chiave pubblica, l'account utente locale viene comunque creato, ma l'utente non sarà in grado di eseguire l'accesso finché non viene gestita manualmente una chiave.

Per i cluster con un server NFS, la home directory per ogni utente è disponibile nel NAS con la home directory di base /shared/home. Per i cluster senza un server NFS, la home directory di base è /home ed è locale per ogni macchina virtuale del cluster.

Revoca dell'accesso

Se all'utente è stato concesso l'accesso tramite un'autorizzazione condivisa, è sufficiente rimuovere tali autorizzazioni condivise usando il collegamento Accesso nella pagina del cluster. Se l'utente ha il ruolo "Global Node Amministrazione" o "Global Node User", un amministratore deve rimuovere tali ruoli nella scheda Utenti della pagina Impostazioni.

Nota

Gli account utente non vengono eliminati nei nodi in esecuzione. La shell di accesso per questi account utente revocati viene invece modificata in /sbin/nologin. In questo modo viene negato un ulteriore accesso senza eliminare i dati dell'utente.

Disabilitazione del sistema di gestione utenti di Built-In

Il sistema di gestione utenti predefinito è abilitato per impostazione predefinita in ogni installazione di CycleCloud ed è un'impostazione a livello di installazione. Tutti i cluster gestiti dal server CycleCloud avranno questa opzione abilitata. Per disabilitare, passare alla sezione CycleCloud della pagina Impostazioni . La casella popup contiene un'opzione per l'autenticazione del nodo e la selezione di Disabilitata nell'elenco a discesa garantisce che non vengano creati account utente locali a parte l'utente dell'agente di macchine virtuali.

Disabilitare l'autenticazione del nodo

Sistemi di gestione utenti di terze parti

Per i cluster di produzione aziendali, è consigliabile che l'accesso utente venga gestito tramite un servizio directory, ad esempio LDAP, Active Directory o NIS. Questa integrazione può essere implementata configurando PAM e NSS nelle immagini vm usate in ogni nodo o creando progetti CycleCloud eseguiti durante la fase di installazione software di ogni nodo.

Il servizio Azure Dominio di Active Directory fornisce un servizio gestito per i server Active Directory e le istruzioni per l'aggiunta a un dominio Linux sono disponibili qui.