Konfigurieren von Stamm-squashen-Einstellungen für Azure Managed Lustre-Dateisysteme

  • Artikel

Root squashen ist ein Sicherheitsfeature, das verhindert, dass ein Benutzer mit Stammberechtigungen auf einem Client auf Dateien im Verwalteten Remote-Lustre-Dateisystem zugreifen kann. Diese Funktionalität wird mithilfe des Lustre nodemap-Features erreicht und ist ein wichtiger Bestandteil des Schutzes von Benutzerdaten und Systemeinstellungen vor Manipulationen durch nicht vertrauenswürdige oder kompromittierte Clients.

In diesem Artikel erfahren Sie, wie Sie Stammeinstellungen squashen für Azure Managed Lustre-Dateisysteme konfigurieren. Sie können Stammeinstellungen squashen über die REST-API-Anforderung während der Clustererstellung oder für einen vorhandenen Cluster konfigurieren.

Voraussetzungen

  • Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Einstellungen für stamm squashen

In der folgenden Tabelle sind die verfügbaren Parameter für die rootSquashSettings Eigenschaft aufgeführt, die für die REST-API-Version 2024-03-01 und höher verfügbar ist:

Parameter Werte Typ Beschreibung
mode RootOnly, All, None String RootOnly: Betrifft nur den Stammbenutzer auf nicht vertrauenswürdigen Systemen. UID und GID für Dateien werden in die bereitgestellten squashUID bzw squashGID. umgewandelt.
All: Betrifft alle Benutzer auf nicht vertrauenswürdigen Systemen. UID und GID für Dateien werden in die bereitgestellten squashUID bzw squashGID. eingeküselt.
None(Standard): Deaktiviert die Stammfunktion squashen, sodass kein Squashing von UID und GID für Benutzer auf einem System ausgeführt wird.
noSquashNidLists String Netzwerk-ID(NID)-IP-Adresslisten, die den vertrauenswürdigen Systemen hinzugefügt werden.
squashUID 1 - 4294967295 Integer Numerischer Wert, in den die Benutzer-ID (UID) gequetscht wird.
squashGID 1 - 4294967295 Integer Numerischer Wert, in den die Gruppen-ID (GID) gequetscht wird.
status String Dateisystem squashen status.

Wenn Sie nicht zusammenhängende IP-Adressen als vertrauenswürdige Systeme hinzufügen müssen, können Sie eine durch Semikolon getrennte Liste von IP-Adressen im noSquashNidLists Parameter angeben, wie im folgenden Beispiel gezeigt:

"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",

Aktivieren von Stamm-squashen während der Clustererstellung

Wenn Sie ein Azure Managed Lustre-Dateisystem erstellen, können Sie während der Clustererstellung root squashen aktivieren.

Führen Sie die folgenden Schritte aus, um root squashen während der Clustererstellung zu aktivieren:

  1. Entscheiden Sie sich für die Stammeinstellungen squashen, die Sie für Ihren Cluster verwenden möchten. Weitere Informationen finden Sie unter Stammeinstellungen für squashen.
  2. Verwenden Sie eine PUT Anforderung, um einen Cluster zu erstellen, und fügen Sie die gewünschten rootSquashSettings Werte in den properties Abschnitt des Anforderungstexts ein.

Im folgenden Beispiel wird gezeigt, wie Sie einen Cluster mit aktivierter Stamm-squashen erstellen:

Anforderungssyntax:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Anforderungstext:

"properties": {
    "rootSquashSettings": {
        "mode": "RootOnly",
        "noSquashNidLists": "10.0.2.4@tcp",
        "squashUID": 1000,
        "squashGID": 1000
    },
}

Anzeigen von Stamm-squashen-Einstellungen für einen vorhandenen Cluster

Sie können die Stammeinstellungen squashen für ein vorhandenes Azure Managed Lustre-Dateisystem anzeigen. Führen Sie die folgenden Schritte aus, um die Squashen-Stammeinstellungen für einen vorhandenen Cluster anzuzeigen:

  1. Verwenden Sie eine GET Anforderung, um die Konfigurationsdetails für einen vorhandenen Cluster zurückzugeben.

Im folgenden Beispiel wird gezeigt, wie ein vorhandener Cluster zurückgegeben wird:

Anforderungssyntax:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Suchen Sie im Antworttext nach der rootSquashSettings -Eigenschaft, um die aktuellen Stamm-squashen Einstellungen für den Cluster anzuzeigen.

Ändern von Stamm-squashen-Einstellungen für einen vorhandenen Cluster

Sie können die Stammeinstellungen squashen für ein vorhandenes Azure Managed Lustre-Dateisystem ändern. Führen Sie die folgenden Schritte aus, um die Squashen-Stammeinstellungen für einen vorhandenen Cluster zu ändern:

  1. Entscheiden Sie sich für die Stammeinstellungen squashen, die Sie für Ihren vorhandenen Cluster ändern oder aktivieren möchten. Weitere Informationen finden Sie unter Stammeinstellungen für squashen.
  2. Verwenden Sie eine PATCH Anforderung, um den vorhandenen Cluster zu ändern, und fügen Sie die gewünschten rootSquashSettings Werte in den properties Abschnitt des Anforderungstexts ein. Durch diese Aktion werden alle vorhandenen Stammeinstellungen squashen überschrieben. Stellen Sie daher sicher, dass alle Einstellungen mit der PATCH Anforderung bereitgestellt werden.

Angenommen, Sie müssen dem noSquashNidLists Parameter einen neuen IP-Adressbereich hinzufügen. Das folgende Beispiel zeigt, wie Sie einen vorhandenen Cluster aktualisieren, um dem noSquashNidLists Parameter einen neuen IP-Adressbereich hinzuzufügen:

Anforderungssyntax:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Anforderungstext:

"properties": {
    "rootSquashSettings": {
        "mode": "RootOnly",
        "noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
        "squashUID": 1000,
        "squashGID": 1000
    },
}

Auch wenn sich die modeParameter , squashUIDund squashGID in diesem Beispiel nicht ändern, müssen Sie sie in den PATCH Anforderungstext einschließen, um zu vermeiden, dass die Werte überschrieben werden.

Deaktivieren von Stamm-squashen für einen vorhandenen Cluster

Sie können root squashen für ein vorhandenes Azure Managed Lustre-Dateisystem deaktivieren. Führen Sie die folgenden Schritte aus, um squashen für einen vorhandenen Cluster zu deaktivieren:

  1. Verwenden Sie eine PATCH Anforderung, um den vorhandenen Cluster zu ändern, und legen Sie den mode Parameter im properties Abschnitt des Anforderungstexts auf None fest. Weitere Parameter sind nicht erforderlich.

Im folgenden Beispiel wird gezeigt, wie Sie squashen für einen vorhandenen Cluster deaktivieren:

Anforderungssyntax:

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Anforderungstext:

"properties": {
    "rootSquashSettings": {
        "mode": "None"
    },
}

Nächste Schritte

Weitere Informationen zu Azure Managed Lustre finden Sie in den folgenden Artikeln: