Configurer les paramètres de squashing racine pour les systèmes de fichiers Azure Managed Lustre

  • Article

Root squashing est une fonctionnalité de sécurité qui empêche un utilisateur disposant de privilèges racine sur un client d’accéder aux fichiers sur le système de fichiers Managed Lustre distant. Cette fonctionnalité est obtenue à l’aide de la fonctionnalité nodemap Lustre et est un élément important de la protection des données utilisateur et des paramètres système contre la manipulation par des clients non approuvés ou compromis.

Dans cet article, vous allez apprendre à configurer les paramètres de squashing racine pour les systèmes de fichiers Azure Managed Lustre. Vous pouvez configurer les paramètres de squashing racine via une demande d’API REST lors de la création du cluster ou pour un cluster existant.

Prérequis

  • Un abonnement Azure. Si vous ne disposez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Paramètres de squashing racine

Le tableau suivant détaille les paramètres disponibles pour la rootSquashSettings propriété , qui est disponible pour l’API REST version 2024-03-01 et ultérieure :

Paramètre Valeurs Type Description
mode RootOnly, All, None String RootOnly: affecte uniquement l’utilisateur racine sur les systèmes non approuvés. L’UID et le GID sur les fichiers sont écrasés sur le fourni squashUID et squashGID, respectivement.
All : affecte tous les utilisateurs sur les systèmes non approuvés. L’UID et le GID sur les fichiers sont écrasés sur le fourni squashUID et squashGID, respectivement.
None(par défaut) : désactive la fonctionnalité de squashing racine afin qu’aucun écrasement de l’UID et du GID ne soit effectué pour un utilisateur sur n’importe quel système.
noSquashNidLists String Listes d’adresses IP d’ID réseau (NID) ajoutées aux systèmes approuvés.
squashUID 1 - 4294967295 Integer Valeur numérique à laquelle l’ID utilisateur (UID) est écrasé.
squashGID 1 - 4294967295 Integer Valeur numérique à laquelle l’ID de groupe (GID) est écrasé.
status String Squashing status du système de fichiers.

Si vous devez ajouter des adresses IP non incohérentes en tant que systèmes approuvés, vous pouvez fournir une liste d’adresses IP séparées par des points-virgules dans le noSquashNidLists paramètre, comme illustré dans l’exemple suivant :

"noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp;10.0.2.10@tcp",

Activer la squashing racine lors de la création du cluster

Lorsque vous créez un système de fichiers Azure Managed Lustre, vous pouvez activer la squashing racine lors de la création du cluster.

Pour activer la squashing racine lors de la création du cluster, procédez comme suit :

  1. Choisissez les paramètres de squashing racine que vous souhaitez utiliser pour votre cluster. Pour plus d’informations, consultez Paramètres de squashing racine.
  2. Utilisez une PUT requête pour créer un cluster et incluez les valeurs souhaitées rootSquashSettings dans la properties section du corps de la demande.

L’exemple suivant montre comment créer un cluster avec le squashing racine activé :

Syntaxe de la demande :

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Corps de la demande :

"properties": {
    "rootSquashSettings": {
        "mode": "RootOnly",
        "noSquashNidLists": "10.0.2.4@tcp",
        "squashUID": 1000,
        "squashGID": 1000
    },
}

Afficher les paramètres de squashing racine d’un cluster existant

Vous pouvez afficher les paramètres de squashing racine d’un système de fichiers Azure Managed Lustre existant. Pour afficher les paramètres de squashing racine d’un cluster existant, procédez comme suit :

  1. Utilisez une GET demande pour retourner les détails de configuration d’un cluster existant.

L’exemple suivant montre comment retourner un cluster existant :

Syntaxe de la demande :

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Dans le corps de la réponse, recherchez la rootSquashSettings propriété permettant d’afficher les paramètres de squashing racine actuels pour le cluster.

Modifier les paramètres de squashing racine d’un cluster existant

Vous pouvez modifier les paramètres de squashing racine d’un système de fichiers Azure Managed Lustre existant. Pour modifier les paramètres de squashing racine d’un cluster existant, procédez comme suit :

  1. Déterminez les paramètres de squashing racine que vous souhaitez modifier ou activer pour votre cluster existant. Pour plus d’informations, consultez Paramètres de squashing racine.
  2. Utilisez une PATCH demande pour modifier le cluster existant et inclure les valeurs souhaitées rootSquashSettings dans la properties section du corps de la demande. Cette action remplace tous les paramètres de squashing racine existants. Vérifiez donc que tous les paramètres sont fournis avec la PATCH demande.

Supposons que vous deviez ajouter une nouvelle plage d’adresses IP au noSquashNidLists paramètre . L’exemple suivant montre comment mettre à jour un cluster existant pour ajouter une nouvelle plage d’adresses IP au noSquashNidLists paramètre :

Syntaxe de la demande :

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Corps de la demande :

"properties": {
    "rootSquashSettings": {
        "mode": "RootOnly",
        "noSquashNidLists": "10.0.2.4@tcp;10.0.2.[6-8]@tcp",
        "squashUID": 1000,
        "squashGID": 1000
    },
}

Dans cet exemple, même si les modeparamètres , squashUIDet squashGID ne changent pas, vous devez les inclure dans le corps de la PATCH demande pour éviter le remplacement des valeurs.

Désactiver la squashing racine pour un cluster existant

Vous pouvez désactiver la squashing racine pour un système de fichiers Azure Managed Lustre existant. Pour désactiver la squashing racine pour un cluster existant, procédez comme suit :

  1. Utilisez une PATCH demande pour modifier le cluster existant et définissez le mode paramètre sur None dans la properties section du corps de la demande. Aucun autre paramètre n’est obligatoire.

L’exemple suivant montre comment désactiver la squashing racine pour un cluster existant :

Syntaxe de la demande :

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.StorageCache/amlFilesystems/{filesystemName}?api-version={apiVersion}

Corps de la demande :

"properties": {
    "rootSquashSettings": {
        "mode": "None"
    },
}

Étapes suivantes

Pour en savoir plus sur Azure Managed Lustre, consultez les articles suivants :