Clusterbenutzerverwaltung

Es gibt in erster Linie zwei Mechanismen zum Aktivieren des Anmeldezugriffs auf Clusterknoten : über die integrierte Authentifizierung von CycleCloud oder durch die Integration von Knoten in einen Verzeichnisdienst wie Active Directory oder LDAP.

Der VM-Agent-Benutzer

Jede über CycleCloud gestartete und verwaltete Azure-VM verfügt über einen Administratorbenutzer namens cyclecloud , der vom VM-Agent erstellt wird. Den privaten SSH-Schlüssel für diesen Benutzer finden Sie unter /opt/cycle_server/.ssh/cyclecloud.pem im CycleCloud-Anwendungsserver. Dieser Schlüssel wird während des Installationsvorgangs generiert und ist für jede Installation eindeutig.

Dieser Benutzer ist lokal auf jedem virtuellen Computer vorhanden und sollte als Dienstbenutzer mit Administratorzugriff behandelt werden. Dieses Benutzerkonto kann jedoch für Problembehandlungszwecke nützlich sein.

Führen Sie den folgenden Befehl aus, um eine Verbindung mit einem Knoten als cyclecloudherzustellen:

ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}

Alternativ können Sie die CycleCloud CLI verwenden:

cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh 
cyclecloud connect [node] -c [cluster] -u cyclecloud

Built-In Benutzerverwaltung

CycleCloud verfügt über ein integriertes Benutzerverwaltungssystem, das lokale Benutzerkonten auf jeder VM erstellt. Diese lokalen Benutzerkonten werden für jeden Benutzer mit Anmeldeberechtigungen für den Cluster erstellt. Darüber hinaus verfügen Benutzer mit der Knotenadministratorberechtigung über Administratorrechte (sudo) für jede VM im Cluster. Diese Berechtigungen können durch den Besitz des Clusters, durch explizite Freigabe von Berechtigungen für den Cluster oder durch Zuweisen von Benutzern zu einer Rolle erteilt werden, die globalen Anmeldezugriff gewährt. Weitere Informationen zum Zuweisen von Rollen zu Benutzern finden Sie unter CycleCloud-Benutzerverwaltung .

Die Liste der Benutzer mit Anmeldezugriff auf Knoten ist auf der Clusterseite unter Benutzer sichtbar. Wenn Sie den Link anzeigen auswählen , wird ein Dialogfeld mit weiteren Informationen geöffnet.

Dialogfeld

In diesem Dialogfeld werden die einzelnen Benutzer sowie die status der Benutzerverwaltung auf jedem einzelnen Knoten im Cluster angezeigt. Alle Fehler oder Warnungen beim Konfigurieren von Benutzern (z. B. ein UID-Konflikt oder ein nicht zulässiger Benutzername) werden hier angezeigt. Da Benutzer über den jetpackd Daemon auf jedem Knoten verwaltet werden, ist es möglich, Änderungen an ausgeführten Clustern vorzunehmen.

Anmelden bei Knoten

Die Benutzerauthentifizierung basiert auf SSH-Schlüsseln. Der öffentliche Schlüssel für jeden Benutzer mit Anmeldezugriff wird vom entsprechenden Benutzer in CycleCloud abgerufen und in jeder VM bereitgestellt. Wenn der Benutzer keinen öffentlichen Schlüssel hat, wird das lokale Benutzerkonto weiterhin erstellt, aber der Benutzer kann sich erst anmelden, wenn ein Schlüssel manuell bereitgestellt wurde.

Bei Clustern mit einem NFS-Server ist das Basisverzeichnis für jeden Benutzer auf dem NAS mit dem Basis-Startverzeichnis /shared/home verfügbar. Bei Clustern ohne NFS-Server lautet das Basis-Startverzeichnis /home und ist für jede VM des Clusters lokal.

Widerrufen des Zugriffs

Wenn dem Benutzer der Anmeldezugriff über eine freigegebene Berechtigung gewährt wurde, entfernen Sie einfach diese freigegebenen Berechtigungen mithilfe des Zugriffslinks auf der Clusterseite. Wenn der Benutzer über die Rolle "Globaler Knoten Admin" oder "Globaler Knotenbenutzer" verfügt, muss ein Administrator diese Rollen auf der Registerkarte Benutzer der Seite Einstellungen entfernen.

Hinweis

Benutzerkonten werden auf ausgeführten Knoten nicht gelöscht. Stattdessen wird die Anmeldeshell für diese widerrufenen Benutzerkonten in /sbin/nologin geändert. Dadurch wird ein weiterer Anmeldezugriff verweigert, ohne die Daten des Benutzers zu zerstören.

Deaktivieren des Built-In Benutzerverwaltungssystems

Das integrierte Benutzerverwaltungssystem ist standardmäßig bei jeder CycleCloud-Installation aktiviert und stellt eine installationsweite Einstellung dar. In allen Clustern, die vom CycleCloud-Server verwaltet werden, ist dies aktiviert. Navigieren Sie zum Deaktivieren zum Abschnitt CycleCloud der Seite Einstellungen . Das Popupfeld enthält eine Option für Knotenauthentifizierung , und die Auswahl von Deaktiviert in der Dropdownliste stellt sicher, dass keine lokalen Benutzerkonten außer dem VM-Agent-Benutzer erstellt werden.

Deaktivieren der Knotenauthentifizierung

Benutzerverwaltungssysteme von Drittanbietern

Für Unternehmensproduktionscluster wird empfohlen, den Benutzerzugriff über einen Verzeichnisdienst wie LDAP, Active Directory oder NIS zu verwalten. Diese Integration kann implementiert werden, indem Sie PAM und NSS in den vm-Images konfigurieren, die auf den einzelnen Knoten verwendet werden, oder indem Sie CycleCloud-Projekte erstellen, die während der Softwareinstallationsphase jedes Knotens ausgeführt werden.

Azure Active Directory-Domäne Service stellt einen verwalteten Dienst für Active Directory-Server bereit. Anweisungen zum Beitreten zu einer Linux-Domäne finden Sie hier.