Configurare un'identità comune in una Data Science Virtual Machine
Gli account utente locali in una macchina virtuale (VM) di Microsoft Azure, o una Data Science Virtual Machine (DSVM), vengono creati durante il provisioning della VM. Gli utenti eseguono quindi l'autenticazione alla macchina virtuale con le credenziali per tali account utente. Se si dispone di più macchine virtuali a cui gli utenti devono accedere, la gestione delle credenziali può diventare difficile. Per risolvere il problema, è possibile distribuire account utente comuni e gestirli tramite un provider di identità basato su standard. È quindi possibile usare un singolo set di credenziali per accedere a più risorse in Azure, incluse più DSVM.
Active Directory è un provider di identità diffuso. Azure lo supporta sia come servizio cloud che come directory locale. È possibile usare Microsoft Entra ID o Active Directory locale per autenticare gli utenti in una DSVM autonoma o in un cluster di DSVM in un set di scalabilità di macchine virtuali. A tale scopo, aggiungere le istanze di DSVM a un dominio di Active Directory.
Se si ha già Active Directory, è possibile usarlo come provider di identità comune. Se non si ha Active Directory, è possibile eseguire un'istanza gestita di Active Directory in Azure tramite Microsoft Entra Domain Services.
La documentazione relativa a Microsoft Entra ID fornisce istruzioni di gestione dettagliate, tra cui indicazioni su come connettere Microsoft Entra ID alla directory locale, se presente.
Questo articolo illustra la procedura di configurazione di un servizio di dominio di Active Directory completamente gestito in Azure, usando Microsoft Entra Domain Services. È quindi possibile aggiungere quindi le DSVM al dominio di Active Directory gestito. Questo approccio consente agli utenti di accedere a un pool di DSVM (e altre risorse di Azure) usando un account utente e credenziali comuni.
Configurare un dominio di Active Directory completamente gestito in Azure
Microsoft Entra Domain Services semplifica la gestione delle identità. Fornisce un servizio completamente gestito in Azure. In questo dominio di Active directory, si gestiscono gli utenti e i gruppi. Per configurare un dominio di Active Directory ospitato in Azure e gli account utente nella directory, seguire questa procedura:
Nel portale di Azure aggiungere l'utente ad Active Directory:
Accedere al portale di Azure come amministratore globale
Passare a Microsoft Entra ID>Utenti>Tutti gli utenti
Selezionare Nuovo utente
Viene visualizzato il riquadro Utente, come illustrato in questo screenshot:
Immettere informazioni sull'utente, ad esempio nome e nome utente. La parte del nome di dominio del nome utente deve essere il nome di dominio "[nome dominio]" del nome di dominio predefinito iniziale o un nome di dominio personalizzato verificato, non federato, ad esempio "contoso.com".
Copiare o annotare in altro modo la password utente generata. È necessario fornire questa password all'utente dopo il completamento del processo
Facoltativamente, è possibile aprire e immettere le informazioni in Profilo, Gruppi o Ruolo della directory per l'utente
In Utente selezionare Crea
Distribuire in modo sicuro la password generata al nuovo utente per consentirgli l'accesso
Creare un'istanza di Microsoft Entra Domain Services. Per altre informazioni, visitare Abilitare Microsoft Entra Domain Services con il portale di Azure (sezione "Creare un'istanza e configurare le impostazioni di base"). È necessario aggiornare le password utente esistenti in Active Directory per sincronizzare la password in Microsoft Entra Domain Services. È anche importante aggiungere DNS a Microsoft Entra Domain Services, come descritto in "Completare i campi nella finestra Informazioni di base del portale di Azure per creare un'istanza di Microsoft Entra Domain Services" in tale sezione.
Nella sezione Creare e configurare la rete virtuale del passaggio precedente, creare una subnet DSVM separata nella rete virtuale creata
Creare una o più istanze di DSVM nella subnet delle DSVM
Seguire le istruzioni per aggiungere la DSVM ad Active Directory
Montare una condivisione di File di Azure in cui ospitare la directory home o notebook per consentire il montaggio dell'area di lavoro in qualsiasi macchina. Se sono necessarie autorizzazioni limitate a livello di file, sarà necessario che NFS (Network File System) sia in esecuzione in una o più macchine virtuali
Montare questa condivisione nella DSVM Linux. Quando si seleziona Connetti per la condivisione di File di Azure nel proprio account di archiviazione nel portale di Azure, viene visualizzato il comando per l'esecuzione nella shell di Bash nella DSVM Linux. Il comando è simile al seguente:
sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmsspSi supponga, ad esempio, di aver montato la condivisione file di Azure nella directory /data/workspace. Creare ora le directory per ognuno degli utenti della condivisione:
- /data/workspace/user1
- /data/workspace/user2
- E così via.
Creare una directory
notebooksnell'area di lavoro di ogni utenteCreare collegamenti simbolici per
notebooksin$HOME/userx/notebooks/remote
Sono ora disponibili gli utenti nell'istanza di Active Directory, ospitata in Azure. Con le credenziali di Active Directory, gli utenti possono accedere a qualsiasi DSVM (SSH o JupyterHub) aggiunta a Microsoft Entra Domain Services. Poiché una condivisione di File di Azure ospita l'area di lavoro utente, gli utenti possono accedere ai notebook e ad altre attività da qualsiasi DSVM, quando usano JupyterHub.
Per la scalabilità automatica è possibile usare un set di scalabilità di macchine virtuali per creare un pool di VM che vengono tutte aggiunte al dominio in questo modo e con il disco condiviso montato. Gli utenti possono accedere a qualsiasi computer disponibile nel set di scalabilità di macchine virtuali, e avere accesso al disco condiviso in cui sono salvati i propri notebook.