Konfigurowanie wspólnej tożsamości na maszynie wirtualnej Nauka o danych

Na maszynie wirtualnej platformy Microsoft Azure lub maszynie wirtualnej platformy Microsoft Azure lub maszynie wirtualnej Nauka o danych (DSVM) tworzone są konta użytkowników lokalnych podczas aprowizowania maszyny wirtualnej. Następnie użytkownicy uwierzytelniają się na maszynie wirtualnej przy użyciu poświadczeń dla tych kont użytkowników. Jeśli masz wiele maszyn wirtualnych, do których użytkownicy muszą uzyskać dostęp, zarządzanie poświadczeniami może stać się trudne. Aby rozwiązać ten problem, można wdrożyć typowe konta użytkowników i zarządzać nimi za pośrednictwem dostawcy tożsamości opartego na standardach. Następnie możesz użyć jednego zestawu poświadczeń, aby uzyskać dostęp do wielu zasobów na platformie Azure, w tym wielu maszyn WIRTUALNYch DSVM.

Usługa Active Directory jest popularnym dostawcą tożsamości. pomoc techniczna platformy Azure zarówno jako usługa w chmurze, jak i jako katalog lokalny. Możesz użyć identyfikatora Entra firmy Microsoft lub lokalna usługa Active Directory do uwierzytelniania użytkowników na autonomicznym maszynie DSVM lub klastrze maszyn wirtualnych DSVM w zestawie skalowania maszyn wirtualnych platformy Azure. W tym celu dołącz wystąpienia maszyny DSVM do domeny usługi Active Directory.

Jeśli masz już usługę Active Directory, możesz jej użyć jako wspólnego dostawcy tożsamości. Jeśli nie masz usługi Active Directory, możesz uruchomić wystąpienie zarządzanej usługi Active Directory na platformie Azure za pośrednictwem usług Microsoft Entra Domain Services.

Dokumentacja identyfikatora Entra firmy Microsoft zawiera szczegółowe instrukcje dotyczące zarządzania, w tym wskazówki dotyczące sposobu łączenia identyfikatora Entra firmy Microsoft z katalogiem lokalnym, jeśli go masz.

W tym artykule opisano sposób konfigurowania w pełni zarządzanej usługi domenowej Active Directory na platformie Azure przy użyciu usług Microsoft Entra Domain Services. Następnie możesz dołączyć maszyny DSVM do domeny zarządzanej usługi Active Directory. Takie podejście umożliwia użytkownikom dostęp do puli maszyn DSVM (i innych zasobów platformy Azure) za pomocą wspólnego konta użytkownika i poświadczeń.

Konfigurowanie w pełni zarządzanej domeny usługi Active Directory na platformie Azure

Usługa Microsoft Entra Domain Services ułatwia zarządzanie tożsamościami. Zapewnia w pełni zarządzaną usługę na platformie Azure. W tej domenie usługi Active Directory zarządzasz użytkownikami i grupami. Aby skonfigurować domenę i konta użytkowników usługi Active Directory hostowanej na platformie Azure w katalogu, wykonaj następujące kroki:

1. W witrynie Azure Portal dodaj użytkownika do usługi Active Directory:

   1. Zaloguj się w witrynie Azure Portal jako administrator globalny Administracja istrator

   2. Przejdź do pozycji Użytkownicy identyfikatora>>entra firmy Microsoft wszyscy użytkownicy

   3. Wybierz pozycję Nowy użytkownik

      Zostanie otwarte okienko Użytkownik , jak pokazano na poniższym zrzucie ekranu:

      

   4. Wprowadź informacje o użytkowniku, takie jak Nazwa i Nazwa użytkownika. Część nazwy domeny nazwy użytkownika musi być początkową domyślną nazwą domeny "[nazwa domeny].onmicrosoft.com" lub zweryfikowaną, niefederacyjną niestandardową nazwą domeny, taką jak "contoso.com".

   5. Skopiuj lub zanotuj wygenerowane hasło użytkownika. To hasło należy podać użytkownikowi po zakończeniu tego procesu

   6. Opcjonalnie możesz otworzyć i wypełnić informacje w obszarze Profil, Grupy lub Rola katalogu dla użytkownika

   7. W obszarze Użytkownik wybierz pozycję Utwórz

   8. Bezpieczne dystrybuowanie wygenerowanego hasła do nowego użytkownika, aby użytkownik mógł się zalogować

2. Utwórz wystąpienie usług Microsoft Entra Domain Services. Aby uzyskać więcej informacji, odwiedź stronę Włączanie usług Microsoft Entra Domain Services przy użyciu witryny Azure Portal (sekcja "Tworzenie wystąpienia i konfigurowanie podstawowych ustawień". Aby zsynchronizować hasło w usługach Microsoft Entra Domain Services, należy zaktualizować istniejące hasła użytkownika w usłudze Active Directory. Należy również dodać system DNS do usług Microsoft Entra Domain Services, zgodnie z opisem w sekcji "Ukończ pola w oknie Podstawy witryny Azure Portal, aby utworzyć wystąpienie usług Microsoft Entra Domain Services" w tej sekcji.

3. W sekcji Tworzenie i konfigurowanie sieci wirtualnej w poprzednim kroku utwórz oddzielną podsieć DSVM w utworzonej sieci wirtualnej

4. Tworzenie co najmniej jednego wystąpienia maszyny WIRTUALNEJ DSVM w podsieci DSVM

5. Postępuj zgodnie z instrukcjami , aby dodać maszynę DSVM do usługi Active Directory

6. Zainstaluj udział usługi Azure Files w celu hostowania katalogu macierzystego lub notesu, aby można było zainstalować obszar roboczy na dowolnej maszynie. Jeśli potrzebujesz ciasnych uprawnień na poziomie plików, musisz mieć system plików sieciowych [NFS] uruchomiony na co najmniej jednej maszynie wirtualnej

   1. Utwórz udział usługi Azure Files.

   2. Zainstaluj ten udział na maszynie DSVM z systemem Linux. Po wybraniu Połączenie udziału usługi Azure Files na koncie magazynu w witrynie Azure Portal zostanie wyświetlone polecenie do uruchomienia w powłoce bash na maszynie DSVM systemu Linux. Polecenie wygląda następująco:

   sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp
   

7. Załóżmy na przykład, że udział usługi Azure Files został zainstalowany w katalogu /data/workspace . Teraz utwórz katalogi dla każdego użytkownika w udziale:

   • /data/workspace/user1
   • /data/workspace/user2
   • I tak dalej.

   Tworzenie notebooks katalogu w obszarze roboczym każdego użytkownika

8. Tworzenie linków symbolicznych dla elementu w programie notebooks$HOME/userx/notebooks/remote

Masz teraz użytkowników w wystąpieniu usługi Active Directory, który jest hostowany na platformie Azure. Przy użyciu poświadczeń usługi Active Directory użytkownicy mogą logować się do dowolnej maszyny WIRTUALNEJ DSVM (SSH lub JupyterHub), która jest przyłączona do usług Microsoft Entra Domain Services. Ponieważ udział usługi Azure Files hostuje obszar roboczy użytkownika, użytkownicy mogą uzyskiwać dostęp do notesów i innych zasobów z dowolnego maszyny DSVM, gdy korzystają z usługi JupyterHub.

W przypadku skalowania automatycznego można użyć zestawu skalowania maszyn wirtualnych, aby utworzyć pulę maszyn wirtualnych, które są przyłączone do domeny w ten sposób i z zainstalowanym dyskiem udostępnionym. Użytkownicy mogą logować się do dowolnej dostępnej maszyny w zestawie skalowania maszyn wirtualnych i uzyskiwać dostęp do dysku udostępnionego, na którym są zapisywane notesy.

Następne kroki

• Bezpieczne przechowywanie poświadczeń w celu uzyskania dostępu do zasobów w chmurze