İstemci erişimini denetleme
Bu makalede, depolama hedefleriniz için özel istemci erişim ilkelerinin nasıl oluşturulacağı ve uygulanacağı açıklanmaktadır.
İstemci erişim ilkeleri, istemcilerin depolama hedefi dışarı aktarmalarına nasıl bağlanacaklarını denetler. İstemci konağında veya ağ düzeyinde kök squash ve okuma/yazma erişimi gibi öğeleri denetleyebilirsiniz.
Erişim ilkeleri bir ad alanı yoluna uygulanır, yani bir NFS depolama sisteminde iki farklı dışarı aktarma için farklı erişim ilkeleri kullanabilirsiniz.
Bu özellik, farklı istemci gruplarının depolama hedeflerine nasıl erişeceklerini denetlemeniz gereken iş akışlarına yöneliktir.
Depolama hedefi erişimi üzerinde ayrıntılı denetime ihtiyacınız yoksa, varsayılan ilkeyi kullanabilir veya ek kurallarla varsayılan ilkeyi özelleştirebilirsiniz. Örneğin, önbellek üzerinden bağlanan tüm istemciler için kök sıkıştırmayı etkinleştirmek istiyorsanız kök squash ayarını eklemek için varsayılan adlı ilkeyi düzenleyebilirsiniz.
İstemci erişim ilkesi oluşturma
İlkeleri oluşturmak ve yönetmek için Azure portalındaki İstemci erişim ilkeleri sayfasını kullanın.
Her ilke kurallardan oluşur. Kurallar, en küçük kapsamdan (konak) en büyüke (varsayılan) sırasıyla konaklara uygulanır. Eşleşen ilk kural uygulanır ve sonraki kurallar yoksayılır.
Yeni erişim ilkesi oluşturmak için listenin üst kısmındaki + Erişim ilkesi ekle düğmesine tıklayın. Yeni erişim ilkesine bir ad verin ve en az bir kural girin.
Bu bölümün geri kalanında kurallarda kullanabileceğiniz değerler açıklanmaktadır.
Scope
Kapsam terimi ve adres filtresi, kuraldan hangi istemcilerin etkilendiğini tanımlamak için birlikte çalışır.
Kuralın tek bir istemci (konak), ip adresi aralığı (ağ) veya tüm istemciler (varsayılan) için geçerli olup olmadığını belirtmek için bunları kullanın.
Kuralınız için uygun Kapsam değerini seçin:
- Konak - Kural tek bir istemci için geçerlidir
- Ağ - Kural, bir IP adresi aralığındaki istemciler için geçerlidir
- Varsayılan - Kural tüm istemciler için geçerlidir.
İlkedeki kurallar bu sırada değerlendirilir. İstemci bağlama isteği bir kuralla eşleştikten sonra diğerleri yoksayılır.
Adres filtresi
Adres filtresi değeri, kuralla eşleşen istemcileri belirtir.
Kapsamı konak olarak ayarlarsanız, filtrede yalnızca bir IP adresi belirtebilirsiniz. Varsayılan kapsam tüm istemcilerle eşleştiğinden, kapsam ayarı varsayılan olarak Adres filtresi alanına hiçbir IP adresi giremezsiniz.
Bu kural için IP adresini veya adres aralığını belirtin. Adres aralığı belirtmek için CIDR gösterimini (örnek: 0.1.0.0/16) kullanın.
Erişim düzeyi
Kapsam ve filtreyle eşleşen istemcilere vermek için hangi ayrıcalıkları ayarlayın.
Seçenekler okuma/yazma, salt okunur veya erişim yoktur.
SUID
Depolamadaki dosyaların erişim sırasında kullanıcı kimliklerini ayarlamasına izin vermek için SUID kutusunu işaretleyin.
SUID genellikle kullanıcının ayrıcalıklarını geçici olarak artırmak için kullanılır, böylece kullanıcı bu dosyayla ilgili bir görevi gerçekleştirebilir.
Altmount erişimi
Belirtilen istemcilerin bu dışarı aktarmanın alt dizinlerini doğrudan bağlamasına izin vermek için bu kutuyu işaretleyin.
Kök squash
Bu kuralla eşleşen istemciler için kök squash ayarlanıp ayarlanmayacağını seçin.
Bu ayar, Azure HPC Önbelleği'ın istemci makinelerinde kök kullanıcıdan gelen istekleri nasıl ele alınıyor olduğunu denetler. Kök sıkıştırma etkinleştirildiğinde, istemcideki kök kullanıcılar Azure HPC Önbelleği aracılığıyla istek gönderdiklerinde otomatik olarak ayrıcalıklı olmayan bir kullanıcıyla eşlenir. Ayrıca istemci isteklerinin set-UID izin bitlerini kullanmasını engeller.
Kök sıkıştırma devre dışı bırakılırsa, istemci kök kullanıcısından (UID 0) bir istek arka uç NFS depolama sistemine kök olarak geçirilir. Bu yapılandırma uygunsuz dosya erişimine izin verebilir.
İstemci istekleri için kök sıkıştırmanın ayarlanması, depolama hedef arka uç sistemleriniz için ek güvenlik sağlayabilir. Depolama hedefi olarak ile no_root_squash yapılandırılmış bir NAS sistemi kullanıyorsanız bu önemli olabilir. (Hakkında daha fazla bilgi edininNFS depolama hedefi önkoşulları.)
Kök sıkıştırmayı açarsanız anonim kimlik kullanıcı değerini de ayarlamanız gerekir. Portal, 0 ile 4294967295 arasındaki tamsayı değerlerini kabul eder. (Eski -2 ve -1 değerleri geriye dönük uyumluluk için desteklenir, ancak yeni yapılandırmalar için önerilmez.)
Bu değerler belirli kullanıcı değerleriyle eşlenir:
- -2 veya 65534 (hiç kimse)
- -1 veya 65535 (erişim yok)
- 0 (ayrıcalıksız kök)
Depolama sisteminizin özel anlamları olan başka değerleri olabilir.
Erişim ilkelerini güncelleştirme
İstemci erişim ilkeleri sayfasındaki tablodan erişim ilkelerini düzenleyebilir veya silebilirsiniz.
düzenlemek üzere açmak için ilke adına tıklayın.
bir ilkeyi silmek için, listede adının yanındaki onay kutusunu işaretleyin ve ardından listenin en üstündeki Sil düğmesine tıklayın. "default" adlı ilkeyi silemezsiniz.
Dekont
Kullanımda olan bir erişim ilkesini silemezsiniz. silmeye çalışmadan önce ilkeyi içeren ad alanı yollarından kaldırın.
Sonraki adımlar
- Depolama hedefleriniz için ad alanı yollarına erişim ilkeleri uygulayın. Nasıl yapılacağını öğrenmek için Toplanan ad alanını ayarlama başlıklı bölümü okuyun.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin