Klusteranvändarhantering
Det finns främst två mekanismer för att aktivera inloggningsåtkomst till klusternoder – via CycleClouds inbyggda autentisering eller genom att integrera noder med en katalogtjänst som Active Directory eller LDAP.
VM-agentanvändaren
Varje virtuell Azure-dator som startas och hanteras via CycleCloud har en administratörsanvändare med namnet cyclecloud som skapas av VM-agenten. Den privata SSH-nyckeln för den här användaren finns på /opt/cycle_server/.ssh/cyclecloud.pem på CycleCloud-programservern. Den här nyckeln genereras under installationsprocessen och är unik för varje installation.
Den här användaren finns lokalt på varje virtuell dator och bör behandlas som en tjänstanvändare med administratörsåtkomst. Det här användarkontot kan dock vara användbart i felsökningssyfte.
Om du vill ansluta till en nod som cyclecloudkör du följande kommando:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Du kan också använda CycleCloud CLI:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Built-In användarhantering
CycleCloud levereras med ett inbyggt användarhanteringssystem som skapar lokala användarkonton på varje virtuell dator. Dessa lokala användarkonton skapas för varje användare med inloggningsbehörighet till klustret. Dessutom har användare med nodadministratörsbehörighet administratörsbehörighet (sudo) för varje virtuell dator i klustret. Dessa behörigheter kan beviljas genom ägarskap för klustret, genom att uttryckligen dela behörigheter till klustret eller genom att tilldela användare till en roll som ger global inloggningsåtkomst. Mer information om hur du tilldelar roller till användare finns i Användarhantering i CycleCloud .
Listan över användare med inloggningsåtkomst till noder visas på klustersidan under Användare. Om du väljer visa-länken öppnas en dialogruta med mer information.
Den här dialogrutan visar varje enskild användare samt status för användarhantering på varje enskild nod i klustret. Eventuella fel eller varningar när du konfigurerar användare (till exempel en UID-konflikt eller ett otillåtet användarnamn) visas här. Eftersom användarna hanteras via daemonen jetpackd på varje nod är det möjligt att göra ändringar i kluster som körs.
Logga in på noder
Användarautentisering är SSH-nyckelbaserad. Den offentliga nyckeln för varje användare med inloggningsåtkomst hämtas från motsvarande användare i CycleCloud och mellanlagras till varje virtuell dator. Om användaren inte har någon offentlig nyckel skapas fortfarande det lokala användarkontot, men användaren kan inte logga in förrän en nyckel mellanlagras manuellt.
För kluster med en NFS-server är hemkatalogen för varje användare tillgänglig på NAS med baskatalogen /delad/hem. För kluster utan en NFS-server är baskatalogen /home och den är lokal för varje virtuell dator i klustret.
Återkalla åtkomst
Om användaren har beviljats inloggningsåtkomst via en delad behörighet tar du helt enkelt bort de delade behörigheterna med hjälp av åtkomstlänken på klustersidan. Om användaren har rollen "Global nod Admin" eller "Global nodanvändare" måste en administratör ta bort dessa roller på fliken Användare på sidan Inställningar.
Anteckning
Användarkonton tas inte bort på noder som körs. I stället ändras inloggningsgränssnittet för dessa återkallade användarkonton till /sbin/nologin. Detta nekar ytterligare inloggningsåtkomst utan att förstöra någon av användarens data.
Inaktivera Built-In användarhanteringssystem
Det inbyggda användarhanteringssystemet är aktiverat som standard för varje CycleCloud-installation och är en installationsomfattande inställning – alla kluster som hanteras av CycleCloud-servern har detta aktiverat. Om du vill inaktivera går du till avsnittet CycleCloud på sidan Inställningar . Popup-rutan innehåller ett alternativ för Nodautentisering och om du väljer Inaktiverad i listrutan ser du till att inga lokala användarkonton förutom VM-agentanvändaren skapas.
Användarhanteringssystem från tredje part
För företagsproduktionskluster rekommenderar vi att användaråtkomst hanteras via en katalogtjänst som LDAP, Active Directory eller NIS. Den här integreringen kan implementeras genom att konfigurera PAM och NSS i vm-avbildningarna som används på varje nod eller skapa CycleCloud-projekt som körs under programinstallationsfasen för varje nod.
Azure Active Directory-domän Service tillhandahåller en hanterad tjänst för Active Directory-servrar, och instruktioner för att ansluta till en Linux-domän finns här.