Configurar definições de squash de raiz para sistemas de ficheiros do Azure Managed Lustre
O squash de raiz é uma funcionalidade de segurança que impede um utilizador com privilégios de raiz num cliente de aceder a ficheiros no sistema de ficheiros Managed Lustre remoto. Esta funcionalidade é obtida com a funcionalidade nodemap do Lustre e é uma parte importante da proteção dos dados dos utilizadores e das definições do sistema contra manipulação por clientes não fidedignos ou comprometidos.
Neste artigo, vai aprender a configurar definições de squash de raiz para sistemas de ficheiros do Azure Managed Lustre. Pode configurar as definições de squash de raiz através do pedido da API REST durante a criação do cluster ou para um cluster existente.
Pré-requisitos
- Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Definições de squash de raiz
A tabela seguinte detalha os parâmetros disponíveis para a rootSquashSettings propriedade, que está disponível para a versão da API REST 2024-03-01 e posterior:
| Parâmetro | Valores | Tipo | Description |
|---|---|---|---|
mode |
RootOnly, All, None |
String | RootOnly: afeta apenas o utilizador raiz em sistemas não fideidos. O UID e o GID nos ficheiros são esmagados para o fornecido squashUID e squashGID, respetivamente.All: afeta todos os utilizadores em sistemas não fideidos. O UID e o GID nos ficheiros são esmagados para o fornecido squashUID e squashGID, respetivamente.None (predefinição): desativa a funcionalidade squash de raiz para que não seja efetuada qualquer eliminação de UID e GID para qualquer utilizador em qualquer sistema. |
noSquashNidLists |
String | Listas de endereços IP de ID de Rede (NID) adicionadas aos sistemas fidedignos. | |
squashUID |
1 - 4294967295 | Número inteiro | Valor numérico ao qual o ID de utilizador (UID) é esmagado. |
squashGID |
1 - 4294967295 | Número inteiro | Valor numérico ao qual o ID de grupo (GID) é esmagado. |
status |
String | Estado de squash do sistema de ficheiros. |
Se precisar de adicionar endereços IP não incontigáuos como sistemas fidedignos, pode fornecer uma lista separada por ponto e vírgula de endereços IP no noSquashNidLists parâmetro, conforme mostrado no exemplo seguinte:
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",
Ativar o squash de raiz durante a criação do cluster
Quando cria um sistema de ficheiros do Azure Managed Lustre, pode ativar o squash de raiz durante a criação do cluster.
Para ativar o squash de raiz durante a criação do cluster, siga estes passos:
- Decida sobre as definições de squash de raiz que pretende utilizar para o cluster. Para obter mais informações, veja Definições de squash de raiz.
- Utilize um
PUTpedido para criar um cluster e inclua os valores pretendidosrootSquashSettingsnapropertiessecção do corpo do pedido.
O exemplo seguinte mostra como criar um cluster com squash de raiz ativado:
Sintaxe do pedido:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo do pedido:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Ver definições de squash de raiz para um cluster existente
Pode ver as definições de squash de raiz para um sistema de ficheiros do Azure Managed Lustre existente. Para ver as definições de squash de raiz para um cluster existente, siga estes passos:
- Utilize um
GETpedido para devolver os detalhes de configuração de um cluster existente.
O exemplo seguinte mostra como devolver um cluster existente:
Sintaxe do pedido:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
No corpo da resposta, localize a rootSquashSettings propriedade para ver as definições de squash de raiz atuais para o cluster.
Alterar as definições de squash de raiz para um cluster existente
Pode alterar as definições de squash de raiz para um sistema de ficheiros do Azure Managed Lustre existente. Para alterar as definições de squash de raiz para um cluster existente, siga estes passos:
- Decida sobre as definições de squash de raiz que pretende alterar ou ativar para o cluster existente. Para obter mais informações, veja Definições de squash de raiz.
- Utilize um
PATCHpedido para modificar o cluster existente e inclua os valores pretendidosrootSquashSettingsnapropertiessecção do corpo do pedido. Esta ação substitui todas as definições de squash de raiz existentes, por isso certifique-se de que todas as definições são fornecidas com oPATCHpedido.
Digamos que precisa de adicionar um novo intervalo de endereços IP ao noSquashNidLists parâmetro . O exemplo seguinte mostra como atualizar um cluster existente para adicionar um novo intervalo de endereços IP ao noSquashNidLists parâmetro:
Sintaxe do pedido:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo do pedido:
"properties": {
"rootSquashSettings": {
"mode": "RootOnly",
"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
"squashUID": 1000,
"squashGID": 1000
},
}
Neste exemplo, apesar de os modeparâmetros , squashUIDe squashGID não estarem a ser alterados, tem de os incluir no corpo do PATCH pedido para evitar que os valores sejam substituídos.
Desativar o squash de raiz para um cluster existente
Pode desativar o squash de raiz para um sistema de ficheiros do Azure Managed Lustre existente. Para desativar o squash de raiz para um cluster existente, siga estes passos:
- Utilize um
PATCHpedido para modificar o cluster existente e defina omodeparâmetro comoNonenapropertiessecção do corpo do pedido. Não são necessários outros parâmetros.
O exemplo seguinte mostra como desativar o squash de raiz para um cluster existente:
Sintaxe do pedido:
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}
Corpo do pedido:
"properties": {
"rootSquashSettings": {
"mode": "None"
},
}
Passos seguintes
Para saber mais sobre o Azure Managed Lustre, veja os seguintes artigos: