التحكم في وصول العميل

  • مقالة
  • قراءة خلال 3 دقائق

توضح هذه المقالة كيفية إنشاء سياسات وصول العميل المخصصة وتطبيقها على أهداف التخزين.

تتحكم سياسات وصول العميل في كيفية السماح للعملاء بالاتصال بالصادرات المستهدفة للتخزين. يمكنك التحكم في أشياء مثل الاسكواش الجذري والوصول إلى القراءة / الكتابة على مستوى مضيف العميل أو الشبكة.

يتم تطبيق نهج الوصول على مسار مساحة اسم، مما يعني أنه يمكنك استخدام نهج وصول مختلفة لعمليتي تصدير مختلفتين على نظام تخزين NFS.

هذه الميزة مخصصة لمهام سير العمل حيث تحتاج إلى التحكم في كيفية وصول مجموعات مختلفة من العملاء إلى أهداف التخزين.

إذا كنت لا تحتاج إلى تحكم دقيق في الوصول إلى هدف التخزين، فيمكنك استخدام السياسة الافتراضية، أو يمكنك تخصيص السياسة الافتراضية باستخدام قواعد إضافية. على سبيل المثال، إذا كنت تريد تمكين الاسكواش الجذر لجميع العملاء الذين يتصلون من خلال ذاكرة التخزين المؤقت، يمكنك تحرير النهج المسمى افتراضيا لإضافة إعداد الاسكواش الجذر.

إنشاء نهج وصول عميل

استخدم صفحة نهج وصول العميل في مدخل Azure لإنشاء النهج وإدارتها.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

تتكون كل سياسة من قواعد. يتم تطبيق القواعد على المضيفين بالترتيب من أصغر نطاق (مضيف) إلى أكبر نطاق (افتراضي). يتم تطبيق القاعدة الأولى التي تتطابق ويتم تجاهل القواعد اللاحقة.

لإنشاء سياسة وصول جديدة، انقر على الزر + إضافة سياسة وصول في أعلى القائمة. امنح سياسة الوصول الجديدة اسما، وأدخل قاعدة واحدة على الأقل.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

يشرح بقية هذا القسم القيم التي يمكنك استخدامها في القواعد.

النطاق

يعمل مصطلح النطاق وعامل تصفية العنوان معا لتحديد العملاء المتأثرين بالقاعدة.

استخدمها لتحديد ما إذا كانت القاعدة تنطبق على عميل فردي (مضيف) أو نطاق من عناوين IP (شبكة) أو كافة العملاء (افتراضي).

حدد قيمة النطاق المناسبة للقاعدة:

  • المضيف - تنطبق القاعدة على عميل فردي
  • الشبكة - تنطبق القاعدة على العملاء في مجموعة من عناوين IP
  • افتراضي - تنطبق القاعدة على جميع العملاء.

يتم تقييم القواعد في السياسة بهذا الترتيب. بعد أن يتطابق طلب تحميل العميل مع قاعدة واحدة، يتم تجاهل القواعد الأخرى.

فلتر العنوان

تحدد قيمة عامل تصفية العنوان العملاء الذين يطابقون القاعدة.

إذا قمت بتعيين النطاق إلى مضيف، يمكنك تحديد عنوان IP واحد فقط في عامل التصفية. بالنسبة إلى الإعداد الافتراضي للنطاق، لا يمكنك إدخال أي عناوين IP في حقل عامل تصفية العنوان لأن النطاق الافتراضي يطابق جميع العملاء.

حدد عنوان IP أو نطاق العناوين لهذه القاعدة. استخدم تدوين CIDR (على سبيل المثال: 0.1.0.0/16) لتحديد نطاق عناوين.

مستوى الوصول

قم بتعيين الامتيازات التي يجب منحها للعملاء الذين يطابقون النطاق وعامل التصفية.

الخيارات هي القراءة / الكتابة أو للقراءة فقط أو عدم الوصول.

سويد

حدد مربع SUID للسماح للملفات الموجودة في التخزين بتعيين معرفات المستخدم عند الوصول.

عادة ما يتم استخدام SUID لزيادة امتيازات المستخدم مؤقتا حتى يتمكن المستخدم من إنجاز مهمة تتعلق بهذا الملف.

الوصول إلى الحامل الفرعي

حدد هذا المربع للسماح للعملاء المحددين بتحميل الدلائل الفرعية لهذا التصدير مباشرة.

الاسكواش الجذر

اختر ما إذا كنت تريد تعيين اسكواش الجذر للعملاء الذين يطابقون هذه القاعدة أم لا.

يتحكم هذا الإعداد في كيفية تعامل Azure HPC Cache مع الطلبات الواردة من المستخدم الجذر على الأجهزة العميلة. عند تمكين الاسكواش الجذر، يتم تعيين المستخدمين الجذر من عميل تلقائيا إلى مستخدم غير مميز عند إرسال الطلبات من خلال ذاكرة التخزين المؤقت ل Azure HPC. كما يمنع طلبات العميل من استخدام بتات أذونات تعيين UID.

إذا تم تعطيل الاسكواش الجذر، يتم تمرير طلب من المستخدم الجذر العميل (UID 0) إلى نظام تخزين NFS الخلفي كجذر. قد يسمح هذا التكوين بالوصول غير المناسب إلى الملفات.

يمكن أن يساعد إعداد اسكواش الجذر لطلبات العميل في التعويض عن الإعداد المطلوب no_root_squash على أنظمة التخزين المتصلة بالشبكة (NAS) المستخدمة كأهداف تخزين. (اقرأ المزيد حول المتطلبات الأساسية لهدف تخزين NFS.) كما يمكنه تحسين الأمان عند استخدامه مع أهداف تخزين Azure Blob.

إذا قمت بتشغيل الاسكواش الجذر، فيجب عليك أيضا تعيين قيمة معرف المستخدم المجهول. تقبل البوابة الإلكترونية القيم الصحيحة بين 0 و 4294967295. (يتم دعم القيم القديمة -2 و-1 للتوافق مع الإصدارات السابقة، ولكن لا يوصى بها للتكوينات الجديدة.)

يتم تعيين هذه القيم إلى قيم مستخدم محددة:

  • -2 أو 65534 (لا أحد)
  • -1 أو 65535 (لا يمكن الوصول)
  • 0 (جذر غير مميز)

قد يحتوي نظام التخزين على قيم أخرى ذات معاني خاصة.

تحديث سياسات الوصول

يمكنك تحرير نهج الوصول أو حذفها من الجدول في صفحة سياسات وصول العميل .

انقر على اسم السياسة لفتحه للتحرير.

لحذف سياسة، حدد خانة الاختيار بجوار اسمها في القائمة، ثم انقر على الزر حذف في أعلى القائمة. لا يمكنك حذف السياسة المسماة "افتراضي".

ملاحظة

لا يمكنك حذف سياسة وصول قيد الاستخدام. أزل النهج من أي مسارات مساحة اسم تتضمنه قبل محاولة حذفه.

الخطوات التالية