Aracılığıyla paylaş

Küme Kullanıcı Yönetimi

  • Makale

Küme düğümlerine oturum açma erişimini etkinleştirmek için öncelikle iki mekanizma vardır: CycleCloud'un yerleşik kimlik doğrulaması aracılığıyla veya düğümleri Active Directory veya LDAP gibi bir dizin hizmetiyle tümleştirerek.

VM Aracısı Kullanıcısı

CycleCloud aracılığıyla başlatılan ve yönetilen her Azure vm'sinin, VM aracısı tarafından oluşturulan adlı cyclecloud bir yönetici kullanıcısı vardır. Bu kullanıcının SSH özel anahtarı CycleCloud uygulama sunucusunda /opt/cycle_server/.ssh/cyclecloud.pem konumunda bulunabilir. Bu anahtar yükleme işlemi sırasında oluşturulur ve her yükleme için benzersizdir.

Bu kullanıcı her VM'de yerel olarak bulunur ve yönetici erişimi olan bir hizmet kullanıcısı olarak kabul edilmelidir. Ancak bu kullanıcı hesabı sorun giderme amacıyla yararlı olabilir.

bir düğüme olarak cyclecloudbağlanmak için aşağıdaki komutu çalıştırın:

ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}

Alternatif olarak, CycleCloud CLI'yı kullanarak:

cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh 
cyclecloud connect [node] -c [cluster] -u cyclecloud

kullanıcı yönetimini Built-In

CycleCloud, her VM'de yerel kullanıcı hesapları oluşturan yerleşik bir kullanıcı yönetim sistemiyle birlikte gelir. Bu yerel kullanıcı hesapları, kümede oturum açma izinlerine sahip her kullanıcı için oluşturulur. Ayrıca düğüm yöneticisi iznine sahip kullanıcılar, kümedeki her vm için yönetici (sudo) ayrıcalıklarına sahip olur. Bu izinler kümenin sahipliği aracılığıyla, izinler kümeyle açıkça paylaşılarak veya kullanıcıları genel oturum açma erişimi veren bir role atanarak verilebilir. Kullanıcılara rol atama hakkında daha fazla bilgi için bkz . CycleCloud Kullanıcı Yönetimi .

Düğümlere oturum açma erişimi olan kullanıcıların listesi, Küme sayfasında Kullanıcılar'ın altında görünür. Göster bağlantısını seçtiğinizde daha fazla bilgi içeren bir iletişim kutusu açılır.

Küme Kullanıcıları İletişim Kutusu

Bu iletişim kutusu, her bir kullanıcıyı ve kümedeki her bir düğümde kullanıcı yönetiminin durumunu gösterir. Kullanıcıları yapılandırırken oluşan hatalar veya uyarılar (UID çakışması veya izin verilmeyen kullanıcı adı gibi) burada görüntülenir. Kullanıcılar her düğümdeki daemon aracılığıyla yönetildiğinden jetpackd , çalışan kümelerde değişiklik yapmak mümkündür.

Düğümlerde Oturum Açma

Kullanıcı kimlik doğrulaması SSH anahtarı tabanlıdır. Oturum açma erişimi olan her kullanıcının ortak anahtarı CycleCloud'da ilgili kullanıcıdan alınır ve her VM'ye hazırlanır. Kullanıcının ortak anahtarı yoksa, yerel kullanıcı hesabı oluşturulmaya devam eder, ancak kullanıcı bir anahtar el ile hazırlanana kadar oturum açamaz.

NFS sunucusuna sahip kümeler için, her kullanıcının giriş dizini NAS üzerinde /shared/home temel giriş diziniyle kullanılabilir. NFS sunucusu olmayan kümeler için, temel giriş dizini /home dizinidir ve kümenin her vm'sinde yereldir.

Erişimi Iptal Etme

Kullanıcıya paylaşılan bir izin aracılığıyla oturum açma erişimi verildiyse, küme sayfasındaki Erişim bağlantısını kullanarak bu paylaşılan izinleri kaldırmanız yeterlidir. Kullanıcının "Genel Düğüm Yönetici" veya "Genel Düğüm Kullanıcısı" rolü varsa, yöneticinin Ayarlar sayfasının kullanıcılar sekmesinde bu rolleri kaldırması gerekir.

Not

Çalışan düğümlerde kullanıcı hesapları silinmez. Bunun yerine, iptal edilen bu kullanıcı hesaplarının oturum açma kabuğu /sbin/nologin olarak değiştirilir. Bu, kullanıcının verilerini yok etmeden daha fazla oturum açma erişimini reddeder.

Built-In Kullanıcı Yönetim Sistemini Devre Dışı Bırakma

Yerleşik kullanıcı yönetim sistemi, her CycleCloud yüklemesinde varsayılan olarak etkindir ve yükleme genelinde bir ayardır; CycleCloud sunucusu tarafından yönetilen tüm kümelerde bu etkinleştirilir. Devre dışı bırakmak için Ayarlar sayfasının CycleCloud bölümüne gidin. Açılır kutu Düğüm Kimlik Doğrulaması için bir seçenek içerir ve açılan listeden Devre Dışı'nı seçtiğinizde VM aracısı kullanıcısının dışında hiçbir yerel kullanıcı hesabı oluşturulmaz.

Düğüm Kimlik Doğrulamayı Devre Dışı Bırak

Üçüncü Taraf Kullanıcı Yönetim Sistemleri

Kurumsal üretim kümeleri için kullanıcı erişiminin LDAP, Active Directory veya NIS gibi bir dizin hizmeti aracılığıyla yönetilmesi önerilir. Bu tümleştirme, her düğümde kullanılan VM görüntülerinde PAM ve NSS yapılandırılarak veya her düğümün yazılım yükleme aşamasında yürütülen CycleCloud projeleri oluşturularak uygulanabilir.

Azure Active Directory Etki Alanı Hizmeti, Active Directory sunucuları için yönetilen bir hizmet sağlar ve Linux etki alanına katılma yönergelerini burada bulabilirsiniz.