Управление пользователями кластера
Существует в основном два механизма для включения доступа для входа к узлам кластера — с помощью встроенной проверки подлинности CycleCloud или путем интеграции узлов со службой каталогов, такой как Active Directory или LDAP.
Пользователь агента виртуальной машины
У каждой виртуальной машины Azure, запущенной и управляемой с помощью CycleCloud, есть пользователь с именем cyclecloud администратора, созданный агентом виртуальной машины. Закрытый ключ SSH для этого пользователя можно найти по адресу /opt/cycle_server/.ssh/cyclecloud.pem на сервере приложений CycleCloud. Этот ключ создается в процессе установки и уникален для каждой установки.
Этот пользователь существует локально на каждой виртуальной машине и должен рассматриваться как пользователь службы с правами администратора. Однако эта учетная запись пользователя может быть полезна для устранения неполадок.
Чтобы подключиться к узлу как cyclecloud, выполните следующую команду:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Кроме того, с помощью интерфейса командной строки CycleCloud:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Управление пользователями Built-In
CycleCloud поставляется со встроенной системой управления пользователями, которая создает локальные учетные записи пользователей на каждой виртуальной машине. Эти локальные учетные записи пользователей создаются для каждого пользователя с разрешениями на вход в кластер. Кроме того, пользователи с разрешением администратора узла будут иметь права администратора (sudo) для каждой виртуальной машины в кластере. Эти разрешения могут быть предоставлены путем владения кластером, путем явного предоставления общего доступа к разрешениям для кластера или путем назначения пользователям роли, которая предоставляет доступ к глобальному входу. Дополнительные сведения о назначении ролей пользователям см. в разделе Управление пользователями CycleCloud .
Список пользователей с доступом для входа к узлам отображается на странице кластера в разделе Пользователи. При выборе ссылки показать откроется диалоговое окно с дополнительными сведениями.
В этом диалоговом окне отображается каждый отдельный пользователь, а также состояние управления пользователями на каждом отдельном узле в кластере. Все ошибки или предупреждения при настройке пользователей (например, конфликт UID или запрещенное имя пользователя) будут отображаться здесь. Так как управление пользователями jetpackd осуществляется с помощью управляющей программы на каждом узле, можно внести изменения в работающие кластеры.
Вход в узлы
Проверка подлинности пользователя основана на SSH-ключе. Открытый ключ для каждого пользователя с доступом для входа получается у соответствующего пользователя в CycleCloud и преобразуется в каждую виртуальную машину. Если у пользователя нет открытого ключа, локальная учетная запись пользователя по-прежнему создается, но пользователь не сможет войти в систему, пока ключ не будет подготовлен вручную.
Для кластеров с сервером NFS домашний каталог для каждого пользователя доступен в NAS с базовым домашним каталогом /shared/home. Для кластеров без сервера NFS базовым домашним каталогом является /home , который является локальным для каждой виртуальной машины кластера.
Отзыв доступа
Если пользователю был предоставлен доступ для входа через общее разрешение, просто удалите эти общие разрешения, используя ссылку Доступ на странице кластера. Если у пользователя есть роль "Глобальный узел Администратор" или "Пользователь глобального узла", администратор должен удалить эти роли на вкладке "Пользователи" на странице "Параметры".
Примечание
Учетные записи пользователей не удаляются на запущенных узлах. Вместо этого оболочка входа для этих отозванных учетных записей пользователей изменяется на /sbin/nologin. Это запрещает дальнейший доступ к входу без уничтожения каких-либо данных пользователя.
Отключение системы управления пользователями Built-In
Встроенная система управления пользователями включена по умолчанию при каждой установке CycleCloud и является параметром для всей установки. Она будет включена для всех кластеров, управляемых сервером CycleCloud. Чтобы отключить эту функцию, перейдите в раздел CycleCloud на странице Параметры . Во всплывающем окне содержится параметр Проверка подлинности узла . Если выбрать в раскрывающемся списке пункт Отключено , учетные записи локальных пользователей, кроме пользователя агента виртуальной машины, не будут созданы.
Сторонние системы управления пользователями
Для корпоративных рабочих кластеров рекомендуется управлять доступом пользователей через службу каталогов, например LDAP, Active Directory или NIS. Эту интеграцию можно реализовать, настроив PAM и NSS в образах виртуальных машин, используемых на каждом узле, или создав проекты CycleCloud, которые выполняются на этапе установки программного обеспечения каждого узла.
Служба домен Active Directory Azure предоставляет управляемую службу для серверов Active Directory. Инструкции по присоединению к домену Linux можно найти здесь.