Gerenciamento de Usuários de Cluster
Há principalmente dois mecanismos para habilitar o acesso de logon a nós de cluster: por meio da autenticação interna do CycleCloud ou integrando nós a um serviço de diretório, como Active Directory ou LDAP.
O usuário do agente de VM
Cada VM do Azure iniciada e gerenciada por meio do CycleCloud tem um usuário administrador chamado cyclecloud
que é criado pelo agente de VM. A chave privada SSH para esse usuário pode ser encontrada em /opt/cycle_server/.ssh/cyclecloud.pem no servidor de aplicativos cycleCloud. Essa chave é gerada durante o processo de instalação e é exclusiva para cada instalação.
Esse usuário existe localmente em cada VM e deve ser tratado como um usuário de serviço com acesso de administrador. No entanto, essa conta de usuário pode ser útil para fins de solução de problemas.
Para se conectar a um nó como cyclecloud
, execute o seguinte comando:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Como alternativa, usando a CLI do CycleCloud:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Gerenciamento de usuários do Built-In
O CycleCloud vem com um sistema de gerenciamento de usuário interno que cria contas de usuário local em cada VM. Essas contas de usuário local são criadas para cada usuário com permissões de logon para o cluster. Além disso, os usuários com a permissão de administrador do nó terão privilégios de administrador (sudo) para cada VM no cluster. Essas permissões podem ser concedidas por meio da propriedade do cluster, compartilhando explicitamente permissões para o cluster ou atribuindo usuários a uma função que concede acesso de logon global. Consulte Gerenciamento de Usuários do CycleCloud para obter mais informações sobre como atribuir funções aos usuários.
A lista de usuários com acesso de logon a nós está visível na página do cluster em Usuários. Selecionar o link mostrar abrirá uma caixa de diálogo com mais informações.
Essa caixa de diálogo mostra cada usuário individual, bem como o status de gerenciamento de usuários em cada nó individual no cluster. Quaisquer erros ou avisos ao configurar usuários (como um conflito UID ou um nome de usuário não permitido) serão exibidos aqui. Como os usuários são gerenciados por meio do jetpackd
daemon em cada nó, é possível fazer alterações em clusters em execução.
Fazendo logon em nós
A autenticação do usuário é baseada em chave SSH. A chave pública para cada usuário com acesso de logon é obtida do usuário correspondente no CycleCloud e preparada para cada VM. Se o usuário não tiver uma chave pública, a conta de usuário local ainda será criada, mas o usuário não poderá fazer logon até que uma chave seja preparada manualmente.
Para clusters com um servidor NFS, o diretório base para cada usuário está disponível no NAS com o diretório base home /shared/home. Para clusters sem um servidor NFS, o diretório base base é /home e é local para cada VM do cluster.
Revogando o acesso
Se o usuário recebeu acesso de logon por meio de uma permissão compartilhada, basta remover essas permissões compartilhadas usando o link do Access na página do cluster. Se o usuário tiver a função "Nó Global Administração" ou "Usuário de Nó Global", um administrador deverá remover essas funções na guia usuários da página Configurações.
Observação
As contas de usuário não são excluídas em nós em execução. Em vez disso, o shell de logon dessas contas de usuário revogadas é alterado para /sbin/nologin. Isso nega mais acesso de logon sem destruir nenhum dos dados do usuário.
Desabilitando o sistema de gerenciamento de usuários Built-In
O sistema de gerenciamento de usuário interno é habilitado por padrão em cada instalação do CycleCloud e é uma configuração em toda a instalação . Todos os clusters gerenciados pelo servidor CycleCloud terão isso habilitado. Para desabilitar, navegue até a seção CycleCloud da página Configurações . A caixa pop-up contém uma opção para Autenticação de Nó e selecionar Desabilitado na lista suspensa garantirá que nenhuma conta de usuário local além do usuário do agente de VM seja criada.
Sistemas de gerenciamento de usuários de terceiros
Para clusters de produção corporativos, é recomendável que o acesso do usuário seja gerenciado por meio de um serviço de diretório, como LDAP, Active Directory ou NIS. Essa integração pode ser implementada configurando PAM e NSS nas imagens de VM usadas em cada nó ou criando projetos cycleCloud executados durante a fase de instalação de software de cada nó.
O Serviço de Domínio do Active Directory do Azure fornece um serviço gerenciado para servidores do Active Directory e as instruções para ingressar em um domínio do Linux podem ser encontradas aqui.