Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Разрешения для общих ресурсов NFS применяются операционной системой клиента, а не службой Azure Files. Корневой сквош — это функция административной безопасности в NFS, которая предотвращает несанкционированный доступ на корневом уровне к серверу NFS клиентскими компьютерами. Эта функция является важной частью защиты пользовательских данных и системных параметров от манипуляций ненадежными или скомпрометированных клиентами.
Администраторы должны включить корневой сквош в средах, где несколько пользователей или систем обращаются к общей папке NFS, особенно в сценариях, когда клиентские компьютеры не являются полностью доверенными. Преобразование суперпользователей в анонимных пользователей с помощью функции root squash гарантирует, что даже если клиентская машина скомпрометирована, злоумышленник не сможет использовать привилегии суперпользователя для получения доступа или изменения критически важных файлов на сервере NFS.
В этой статье вы узнаете, как настроить и изменить параметры функции root squash для файловых ресурсов Azure NFS.
Применяется к
| Модель управления | Модель выставления счетов | Уровень медиа | Избыточность | Малый и средний бизнес (SMB) | Сетевая файловая система (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | GeoZone (GZRS) |
|
|
Как работает root squash с файлами Azure.
Корневой сквош работает путем повторного сопоставления идентификатора пользователя (UID) и идентификатора группы (GID) корневого пользователя с UID и GID, принадлежащих анонимному пользователю на сервере. Корневые пользователи, обращающиеся к файловой системе, автоматически преобразуются в анонимного, менее привилегированного пользователя или группы с ограниченными разрешениями.
Хотя корневой сквош является поведением по умолчанию в NFS, это не параметр по умолчанию при создании общей папки NFS Azure. Необходимо явно включить root squash для совместного доступа к файлам. Это можно сделать при создании общей папки NFS Azure или позже.
Настройки root squash
Вы можете выбрать один из трех настроек root squash:
- Без root squash: отключите root squash. Этот параметр в основном полезен для клиентов или рабочих нагрузок без дисков, как указано в документации по рабочей нагрузке. Это параметр по умолчанию при создании новой общей папки NFS Azure.
- Все squash: соответствие всех UID и GID анонимному пользователю. Полезно для общих папок, требующих доступа только для чтения всеми клиентами.
- Корневой сквош: сопоставление запросов из UID/GID 0 (root) в анонимный UID/GID. Это не относится к другим идентификаторам пользовательского интерфейса или GID, которые могут быть одинаково чувствительными, например к группе пользователей или сотрудникам группы.
В следующей таблице описано, как ведет себя UID, когда на сервере настроены определенные параметры root squash.
| Параметр | Идентификатор пользовательского интерфейса клиента | UID сервера |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash (отключение отказоустойчивости корневого пользователя в NFS) | 0 | 0 |
| no_root_squash (отключение отказоустойчивости корневого пользователя в NFS) | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Настройка корневого сквоша в существующей общей папке NFS
Параметры squash root можно настроить в портале Azure, Azure PowerShell или Azure CLI.
Войдите в портал Azure и перейдите к учетной записи хранения FileStorage, содержащей общую папку NFS Azure.
В меню службы в разделе хранилища данных выберите общие папки.
Выберите общую папку, для которой нужно изменить параметр корневого сквоша.
В меню службы выберите "Свойства". Затем переключите параметр корневого squash как требуется.
Выберите "Сохранить", чтобы обновить значение root squash.
