Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como criar e aplicar políticas personalizadas de acesso ao cliente para seus destinos de armazenamento.
As políticas de acesso ao cliente controlam como os clientes têm permissão para se conectar às exportações de destino de armazenamento. Você pode controlar aspectos como root squash e acesso de leitura/gravação no nível de rede ou host do cliente.
As políticas de acesso são aplicadas a um caminho de namespace, o que significa que você pode usar políticas de acesso diferentes para duas exportações diferentes em um sistema de armazenamento NFS.
Esse recurso destina-se a fluxos de trabalho em que você precisa controlar como diferentes grupos de clientes acessam os destinos de armazenamento.
Se você não precisar de controle refinado sobre o acesso de destino de armazenamento, poderá usar a política padrão ou personalizar a política padrão com regras extras. Por exemplo, se você quiser habilitar o squash raiz para todos os clientes que se conectam por meio do cache, você poderá editar a política denominada padrão para adicionar a configuração de squash raiz.
Criar uma política de acesso ao cliente
Use a página políticas de acesso ao cliente no portal do Azure para criar e gerenciar políticas.
Cada política é composta por regras. As regras são aplicadas aos hosts na ordem do menor escopo (host) ao maior (padrão). A primeira regra que corresponde é aplicada e as regras posteriores são ignoradas.
Para criar uma nova política de acesso, clique no botão + Adicionar política de acesso na parte superior da lista. Dê um nome à nova política de acesso e insira pelo menos uma regra.
O restante desta seção explica os valores que você pode usar nas regras.
Scope
O termo de escopo e o filtro de endereço funcionam juntos para definir quais clientes são afetados pela regra.
Use-os para especificar se a regra se aplica a um cliente individual (host), a um intervalo de endereços IP (rede) ou a todos os clientes (padrão).
Selecione o valor de escopo apropriado para sua regra:
- Host – A regra se aplica a um cliente individual
- Rede – A regra se aplica a clientes em um intervalo de endereços IP
- Padrão – a regra se aplica a todos os clientes.
As regras em uma política são avaliadas nessa ordem. Depois que uma solicitação de montagem do cliente corresponde a uma regra, as outras são ignoradas.
Filtro de endereço
O valor do filtro de endereço especifica quais clientes correspondem à regra.
Se você definir o escopo para hospedar, poderá especificar apenas um endereço IP no filtro. Para o padrão de configuração de escopo, você não pode inserir nenhum endereço IP no campo Filtro de endereço porque o escopo padrão corresponde a todos os clientes.
Especifique o endereço IP ou o intervalo de endereços para essa regra. Use a notação CIDR (exemplo: 0.1.0.0/16) para especificar um intervalo de endereços.
Nível de acesso
Defina quais privilégios conceder aos clientes que correspondem ao escopo e ao filtro.
As opções são leitura/gravação, somente leitura ou sem acesso.
SUID
Marque a caixa SUID para permitir que os arquivos no armazenamento definam IDs de usuário no acesso.
O SUID normalmente é usado para aumentar temporariamente os privilégios de um usuário para que o usuário possa realizar uma tarefa relacionada a esse arquivo.
Acesso à submontagem
Marque esta caixa para permitir que os clientes especificados montem diretamente os subdiretórios dessa exportação.
Abóbora raiz
Escolha se deseja ou não configurar o root squash para clientes que correspondem a essa regra.
Essa configuração controla como o HPC Cache do Azure trata solicitações do usuário raiz em computadores cliente. Quando o root squash está habilitado, os usuários root de um cliente são mapeados automaticamente para um usuário sem privilégios administrativos quando enviam solicitações por meio do HPC Cache do Azure. Ele também impede que as solicitações do cliente usem bits de permissão set-UID.
Se o "root squash" estiver desabilitado, uma solicitação do usuário root do cliente (UID 0) será passada como root para um sistema de armazenamento NFS de back-end. Essa configuração pode permitir acesso inadequado a arquivos.
Definir o squash raiz para solicitações de cliente pode fornecer segurança extra para seus sistemas de back-end de destino de armazenamento. Isso pode ser importante se você usar um sistema NAS configurado com no_root_squash como destino de armazenamento. (Leia mais sobre os pré-requisitos de destino de armazenamento NFS.)
Se você ativar o root squash, também deverá definir o valor de usuário de ID anônimo. O portal aceita valores inteiros entre 0 e 4294967295. (Os valores antigos -2 e -1 têm suporte para compatibilidade com versões anteriores, mas não são recomendados para novas configurações.)
Esses valores são mapeados para valores de usuário específicos:
- -2 ou 65534 (ninguém)
- -1 ou 65535 (sem acesso)
- 0 (raiz sem privilégios)
Seu sistema de armazenamento pode ter outros valores com significados especiais.
Atualizar políticas de acesso
Você pode editar ou excluir políticas de acesso da tabela na página políticas de acesso do cliente .
Clique no nome da política para abri-lo para edição.
Para excluir uma política, marque a caixa de seleção ao lado de seu nome na lista e clique no botão Excluir na parte superior da lista. Você não pode excluir a política chamada "padrão".
Note
Você não pode excluir uma política de acesso que está em uso. Remova a política de quaisquer caminhos de namespace que a incluam antes de tentar excluí-la.
Próximas Etapas
- Aplique políticas de acesso nos caminhos do namespace para seus destinos de armazenamento. Leia Configurar o namespace agregado para saber como.