Configurar uma identidade comum em uma máquina virtual de ciência de dados
Em uma máquina virtual (VM) do Microsoft Azure ou uma máquina virtual de ciência de dados (DSVM), você cria contas de usuário locais ao provisionar a VM. Em seguida, os usuários se autenticam na VM com credenciais para essas contas de usuário. Se você tiver várias VMs e seus usuários precisarem acessá-las, o gerenciamento de credenciais pode se tornar difícil. Para resolver o problema, você pode implantar contas de usuário comuns e gerenciar essas contas por meio de um provedor de identidade baseado em padrões. Em seguida, você pode usar um único conjunto de credenciais para acessar vários recursos no Azure, incluindo várias DSVMs.
O Ative Directory é um provedor de identidade popular. O Azure dá-lhe suporte como um serviço de nuvem e como um diretório local. Você pode usar a ID do Microsoft Entra ou o Ative Directory local para autenticar usuários em uma DSVM autônoma ou em um cluster de DSVMs em um conjunto de dimensionamento de máquina virtual do Azure. Para fazer isso, associe as instâncias DSVM a um domínio do Ative Directory.
Se você já tiver o Ative Directory, poderá usá-lo como seu provedor de identidade comum. Se não tiver o Ative Directory, pode executar uma instância gerida do Ative Directory no Azure através dos Serviços de Domínio Microsoft Entra.
A documentação do Microsoft Entra ID fornece instruções detalhadas de gerenciamento, incluindo orientação sobre como conectar o Microsoft Entra ID ao seu diretório local, se você tiver um.
Este artigo descreve como configurar um serviço de domínio Ative Directory totalmente gerenciado no Azure, usando os Serviços de Domínio Microsoft Entra. Em seguida, você pode unir suas DSVMs ao domínio gerenciado do Ative Directory. Essa abordagem permite que os usuários acessem um pool de DSVMs (e outros recursos do Azure) por meio de uma conta de usuário e credenciais comuns.
Configurar um domínio do Ative Directory totalmente gerenciado no Azure
Os Serviços de Domínio do Microsoft Entra simplificam o gerenciamento de suas identidades. Ele fornece um serviço totalmente gerenciado no Azure. Neste domínio do Ative Directory, você gerencia usuários e grupos. Para configurar um domínio do Ative Directory hospedado no Azure e contas de usuário em seu diretório, siga estas etapas:
No portal do Azure, adicione o usuário ao Ative Directory:
Entre no portal do Azure como um administrador de função privilegiada
Navegue até Usuários do Microsoft Entra ID>Todos>os usuários
Selecione Novo usuário
O painel Usuário é aberto, conforme mostrado nesta captura de tela:
Insira informações sobre o usuário, como Nome e Nome de usuário. A parte do nome de domínio do nome de usuário deve ser o nome de domínio padrão inicial "[nome de domínio].onmicrosoft.com" ou um nome de domínio personalizado não federado verificado, como "contoso.com".
Copie ou anote a senha de usuário gerada. Deve fornecer esta palavra-passe ao utilizador após a conclusão deste processo
Opcionalmente, você pode abrir e preencher as informações em Perfil, Grupos ou Função de diretório para o usuário
Em Usuário, selecione Criar
Distribuir com segurança a senha gerada para o novo usuário para que o usuário possa entrar
Crie uma instância dos Serviços de Domínio do Microsoft Entra. Na seção Habilitar Serviços de Domínio do Microsoft Entra usando o recurso do portal do Azure, visite a seção Criar uma instância e definir configurações básicas para obter mais informações. Você precisa atualizar as senhas de usuário existentes no Ative Directory para sincronizar a senha nos Serviços de Domínio Microsoft Entra. Você também deve adicionar DNS aos Serviços de Domínio Microsoft Entra, conforme descrito em Preencher os campos na janela Noções básicas do portal do Azure para criar uma instância dos Serviços de Domínio Microsoft Entra nessa seção.
Na seção Criar e configurar a rede virtual da etapa anterior, crie uma sub-rede DSVM separada na rede virtual criada
Criar uma ou mais instâncias DSVM na sub-rede DSVM
Siga as instruções para adicionar a DSVM ao Ative Directory
Monte um compartilhamento de Arquivos do Azure para hospedar seu diretório inicial ou de bloco de anotações, para que seu espaço de trabalho possa ser montado em qualquer máquina. Se você precisar de permissões rígidas no nível de arquivo, precisará do Network File System [NFS] em execução em uma ou mais VMs
Crie um compartilhamento de Arquivos do Azure.
Monte esse compartilhamento na DSVM do Linux. Quando você seleciona Conectar para o compartilhamento de Arquivos do Azure em sua conta de armazenamento no portal do Azure, o comando a ser executado no shell bash na DSVM Linux aparece. O comando tem esta aparência:
sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmsspPor exemplo, suponha que você montou seu compartilhamento de Arquivos do Azure no diretório /data/workspace . Agora, crie diretórios para cada um dos seus usuários no compartilhamento:
- /data/workspace/user1
- /data/workspace/user2
- etc.
Criar um
notebooksdiretório no espaço de trabalho de cada usuárioCriar links simbólicos para
notebooksin$HOME/userx/notebooks/remote
Agora você tem os usuários em sua instância do Ative Directory, que está hospedada no Azure. Com as credenciais do Ative Directory, os usuários podem entrar em qualquer DSVM (SSH ou JupyterHub) que ingresse nos Serviços de Domínio Microsoft Entra. Como um compartilhamento de Arquivos do Azure hospeda o espaço de trabalho do usuário, os usuários podem acessar seus blocos de anotações e outros trabalhos de qualquer DSVM quando usam o JupyterHub.
Para dimensionamento automático, você pode usar um conjunto de dimensionamento de máquina virtual para criar um pool de VMs que são todas unidas ao domínio dessa maneira e com o disco compartilhado montado. Os usuários podem entrar em qualquer máquina disponível no conjunto de dimensionamento de máquina virtual e podem acessar o disco compartilhado onde seus blocos de anotações são salvos.