Configurar uma identidade comum na Máquina Virtual de Ciência de Dados
Em uma Máquina Virtual (VM) do Microsoft Azure ou em uma Máquina Virtual de Ciência de Dados (DSVM), você cria contas de usuário locais enquanto provisiona a VM. Os usuários então se autenticam na VM com credenciais para essas contas de usuário. Se você tiver várias VMs que seus usuários precisam acessar, o gerenciamento de credenciais poderá se tornar difícil. Para resolver o problema, você pode implantar contas de usuários comuns e gerenciá-las por meio de um provedor de identidade baseado em padrões. Você pode então usar um único conjunto de credenciais para acessar vários recursos no Azure, incluindo vários DSVMs.
O Active Directory é um provedor de identidade popular. O Azure oferece suporte tanto como serviço em nuvem quanto como diretório local. Você pode usar o Microsoft Entra ID ou o Active Directory local para autenticar usuários em um DSVM autônomo ou em um cluster de DSVMs, em um conjunto de dimensionamento de máquinas virtuais do Azure. Para fazer isso, junte as instâncias DSVM a um domínio do Active Directory.
Se você já tiver o Active Directory, poderá usá-lo como seu provedor de identidade comum. Se você não tiver o Active Directory, poderá executar uma instância gerenciada do Active Directory no Azure por meio do Microsoft Entra Domain Services.
A documentação do Microsoft Entra ID fornece instruções de gerenciamento detalhadas, incluindo orientações sobre como conectar o Microsoft Entra ID ao seu diretório local, se você tiver um.
Esse artigo descreve como configurar um serviço de domínio do Active Directory totalmente gerenciado no Azure, usando os Serviços de Domínio Microsoft Entra. Em seguida, você pode ingressar suas DSVMs no domínio gerenciado do Active Directory. Essa abordagem permite que os utilizadores acedam a um conjunto de DSVMs (e outros recursos do Azure) através de uma conta de utilizador e credenciais comuns.
Configurar um domínio do Active Directory totalmente gerenciado no Azure
O Microsoft Entra Domain Services simplifica o gerenciamento de suas identidades. Ele fornece um serviço totalmente gerenciado no Azure. Nesse domínio do Active Directory, você pode gerenciar usuários e grupos. Para configurar contas de usuário e um domínio do Active Directory hospedado no Azure no seu diretório, siga as etapas a seguir:
No portal do Azure, adicione o usuário ao Active Directory:
Entrar no Portal do Azure como administrador de função com privilégios
Navegue até Microsoft Entra ID>Usuários>Todos os usuários
Selecione Novo usuário
O painel Usuário é aberto, conforme mostrado nesta captura de tela:
Insira informações sobre o usuário, como Nome e Nome de usuário. A parte de nome de domínio do nome de usuário deve ser o nome de domínio padrão inicial "[nome de domínio].onmicrosoft.com" ou um nome de domínio personalizado verificado e não federado, como "contoso.com".
Copie ou anote a senha do usuário gerada. Você deve fornecer essa senha ao usuário após a conclusão deste processo
Opcionalmente, você pode abrir e preencher as informações em Perfil, Grupos ou Função de diretório do usuário
Em Usuário, selecione Criar
Distribua com segurança a senha gerada para o novo usuário para que ele possa fazer login
Crie uma instância do Microsoft Entra Domain Services. No recurso Habilitar os Serviços de Domínio Microsoft Entra usando o portal do Azure, visite a seção Criar uma instância e definir configurações básicas para obter mais informações. Você precisa atualizar as senhas de usuário existentes no Active Directory para sincronizar a senha no Microsoft Entra Domain Services. Você também precisa adicionar DNS aos Serviços de Domínio Microsoft Entra, conforme descrito em Preencher os campos na janela Básico do portal do Azure para criar uma instância do Microsoft Entra Domain Services nessa seção.
Na seção Criar e configurar a rede virtual da etapa anterior, crie uma sub-rede DSVM separada na rede virtual que você criou
Crie uma ou mais instâncias DSVM na sub-rede DSVM
Siga as instruções para adicionar o DSVM ao Active Directory
Monte um compartilhamento de Arquivos do Azure para hospedar seu diretório inicial ou de notebook, para que seu espaço de trabalho possa ser montado em qualquer máquina. (Se você precisar de rigorosas permissões de nível de arquivo, será necessário um Sistema de Arquivo de Rede (NFS) em execução em uma ou mais VMs).
Crie este compartilhamento na DSVM do Linux. Quando você selecionar o botão Conectar para o compartilhamento de Arquivos do Azure na sua conta de armazenamento no portal do Azure, o comando a ser executado no shell do Bash na DSVM do Linux será mostrado. O comando se parece com o seguinte:
sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmsspPor exemplo, suponha que você montou seu compartilhamento de Arquivos do Azure no diretório /data/workspace. Agora, crie diretórios para cada um dos seus usuários no compartilhamento:
- /data/workspace/user1
- /data/workspace/user2
- etc.
Crie um diretório
notebooksna espaço de trabalho de cada usuárioCrie links simbólicos para
notebooksem$HOME/userx/notebooks/remote
Agora você tem os usuários na sua instância do Active Directory, que está hospedada no Azure. Com credenciais do Active Directory, os usuários podem entrar em qualquer DSVM (SSH ou JupyterHub) associado ao Microsoft Entra Domain Services. Como um compartilhamento de Arquivos do Azure hospeda o espaço de trabalho do usuário, os usuários podem acessar seus notebooks e outros trabalhos de qualquer DSVM, quando usam o JupyterHub.
Para o dimensionamento automático, você pode usar um conjunto de dimensionamento de máquinas virtuais para criar um pool de VMs que estão todos ingressados no domínio dessa maneira e com o disco compartilhado montado. Os utilizadores podem iniciar sessão em qualquer máquina disponível no conjunto de escala de máquinas virtuais e podem aceder ao disco partilhado onde os seus blocos de notas são guardados.