Настройка общего удостоверения для виртуальной машины для обработки и анализа данных

На виртуальной машине Microsoft Azure или Виртуальная машина для обработки и анализа данных (DSVM) вы создаете учетные записи локальных пользователей при подготовке виртуальной машины. Затем пользователи проходят проверку подлинности на виртуальной машине с учетными данными для этих учетных записей пользователей. Если у вас есть несколько виртуальных машин, и пользователям требуется доступ к ним, управление учетными данными может стать сложной задачей. Чтобы решить проблему, можно развернуть общие учетные записи пользователей и управлять этими учетными записями с помощью поставщика удостоверений на основе стандартов. Затем можно использовать один набор учетных данных для доступа к нескольким ресурсам в Azure, включая несколько виртуальных машин DSV.

Active Directory — популярный поставщик удостоверений. поддержка Azure это как облачная служба, так и как локальный каталог. Вы можете использовать идентификатор Microsoft Entra или локальная служба Active Directory для проверки подлинности пользователей в автономном dsVM или кластере виртуальных машин в масштабируемом наборе виртуальных машин Azure. Для этого необходимо присоединить экземпляры DSVM к домену Active Directory.

Если у вас уже настроена служба Active Directory, ее можно использовать в качестве общего поставщика удостоверений. Если у вас нет Active Directory, можно запустить управляемый экземпляр Active Directory в Azure с помощью доменных служб Microsoft Entra.

Документация по идентификатору Microsoft Entra содержит подробные инструкции по управлению, включая инструкции по подключению идентификатора Microsoft Entra к локальному каталогу, если у вас есть идентификатор.

В этой статье описывается, как настроить полностью управляемую доменную службу Active Directory в Azure с помощью доменных служб Microsoft Entra. Затем можно присоединить машины DSVM к управляемому домену Active Directory. Такой подход позволяет пользователям получать доступ к пулу виртуальных машин (и других ресурсов Azure) с помощью общей учетной записи пользователя и учетных данных.

Настройка полностью управляемого домена Active Directory в Azure

Доменные службы Microsoft Entra упрощают управление удостоверениями. Она предоставляет полностью управляемую службу в Azure. В данном домене Active Directory вы можете управлять пользователями и группами. Для настройки размещенного в Azure домена Active Directory и учетных записей пользователей в вашем каталоге выполните следующие действия.

1. Добавьте пользователя в Active Directory на портале Azure.

   1. Войдите в портал Azure с правами администратора привилегированных ролей

   2. Перейдите ко всем пользователям>идентификатора Microsoft Entra ID>

   3. Выбор нового пользователя

      Откроется панель "Пользователь ", как показано на снимке экрана:

      

   4. Введите сведения о пользователе, например имя пользователя и имя пользователя. Часть доменного имени пользователя должна быть либо начальным доменным именем по умолчанию "[доменное имя].onmicrosoft.com", либо проверенным, нефедерированным личным доменным именем , таким как "contoso.com".

   5. Скопируйте или запишите созданный пароль пользователя. После завершения этого процесса необходимо указать этот пароль пользователю.

   6. При необходимости можно открыть и заполнить сведения в роли профиля, групп или каталогов для пользователя.

   7. В разделе "Пользователь" выберите "Создать"

   8. Безопасно распределите созданный пароль новому пользователю, чтобы пользователь смог войти в систему.

2. Создайте экземпляр доменных служб Microsoft Entra. В разделе "Включение доменных служб Microsoft Entra" с помощью ресурса портал Azure посетите раздел "Создание экземпляра" и дополнительные сведения о настройке базовых параметров. Необходимо обновить существующие пароли пользователей в Active Directory, чтобы синхронизировать пароль в доменных службах Microsoft Entra. Кроме того, необходимо добавить DNS в доменные службы Microsoft Entra, как описано в разделе "Завершение работы полей" в окне "Основы" портал Azure для создания экземпляра доменных служб Microsoft Entra в этом разделе.

3. В разделе "Создание и настройка виртуальной сети" предыдущего шага создайте отдельную подсеть DSVM в созданной виртуальной сети.

4. Создание одного или нескольких экземпляров DSVM в подсети DSVM

5. Следуйте инструкциям по добавлению DSVM в Active Directory

6. Подключите Файлы Azure общий ресурс для размещения домашнего или записного каталога записной книжки, чтобы рабочая область была подключена на любом компьютере. Если вам нужны жесткие разрешения на уровне файлов, вам потребуется сетевая файловая система [NFS], запущенная на одной или нескольких виртуальных машинах.

   1. Создайте общий ресурс службы файлов Azure.

   2. Подключите этот общий ресурс на виртуальной машине DSVM с Linux. Когда вы нажмете кнопку Подключить для общего ресурса службы "Файлы Azure" в вашей учетной записи хранения на портале Azure, отобразится команда для выполнения в оболочке bash на виртуальной машине для обработки и анализа данных Linux. Эта команда выглядит следующим образом:

   sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp
   

7. Например, предположим, что вы подключили Файлы Azure общий ресурс в каталоге /data/workspace. Теперь создайте каталоги для каждого пользователя в общей папке:

   • /data/workspace/user1
   • /data/workspace/user2
   • и т. д.

   notebooks Создание каталога в рабочей области каждого пользователя

8. Создание символьных ссылок для notebooks in $HOME/userx/notebooks/remote

Теперь у вас есть пользователи в экземпляре Active Directory, размещенном в Azure. С помощью учетных данных Active Directory пользователи могут войти в любой dsVM (SSH или JupyterHub), присоединенный к доменным службам Microsoft Entra. Так как Файлы Azure совместно использует рабочую область пользователя, пользователи могут получить доступ к своим записным книжкам и другим рабочим ресурсам из любой dsVM при использовании JupyterHub.

Для автоматического масштабирования можно использовать масштабируемый набор виртуальных машин для создания пула виртуальных машин, присоединенных к домену таким образом, и с подключенным общим диском. Пользователи могут войти на любой доступный компьютер в масштабируемом наборе виртуальных машин и получить доступ к общему диску, где сохраняются записные книжки.

Следующие шаги

• Безопасное хранение учетных данных для доступа на виртуальной машине для обработки и анализа данных