Gestion des utilisateurs de cluster
Il existe principalement deux mécanismes permettant d’activer l’accès de connexion aux nœuds de cluster : via l’authentification intégrée de CycleCloud, ou en intégrant des nœuds à un service d’annuaire tel qu’Active Directory ou LDAP.
Utilisateur de l’agent de machine virtuelle
Chaque machine virtuelle Azure démarrée et gérée via CycleCloud a un utilisateur administrateur nommé cyclecloud qui est créé par l’agent de machine virtuelle. La clé privée SSH de cet utilisateur se trouve à l’adresse /opt/cycle_server/.ssh/cyclecloud.pem dans le serveur d’applications CycleCloud. Cette clé est générée pendant le processus d’installation et est unique à chaque installation.
Cet utilisateur existe localement sur chaque machine virtuelle et doit être traité comme un utilisateur de service disposant d’un accès administrateur. Toutefois, ce compte d’utilisateur peut être utile à des fins de résolution des problèmes.
Pour vous connecter à un nœud en tant que cyclecloud, exécutez la commande suivante :
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Vous pouvez également utiliser l’interface CLI CycleCloud :
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
gestion des utilisateurs Built-In
CycleCloud est fourni avec un système de gestion des utilisateurs intégré qui crée des comptes d’utilisateurs locaux sur chaque machine virtuelle. Ces comptes d’utilisateur locaux sont créés pour chaque utilisateur disposant d’autorisations de connexion au cluster. En outre, les utilisateurs disposant de l’autorisation d’administrateur de nœud disposent de privilèges d’administrateur (sudo) pour chaque machine virtuelle du cluster. Ces autorisations peuvent être accordées par le biais de la propriété du cluster, en partageant explicitement des autorisations sur le cluster ou en attribuant des utilisateurs à un rôle qui accorde l’accès global à la connexion. Pour plus d’informations sur l’attribution de rôles aux utilisateurs, consultez Gestion des utilisateurs CycleCloud .
La liste des utilisateurs disposant d’un accès de connexion aux nœuds est visible sur la page du cluster sous Utilisateurs. La sélection du lien afficher ouvre une boîte de dialogue contenant plus d’informations.
Cette boîte de dialogue affiche chaque utilisateur individuel ainsi que les status de gestion des utilisateurs sur chaque nœud individuel du cluster. Toutes les erreurs ou avertissements lors de la configuration des utilisateurs (par exemple, un conflit UID ou un nom d’utilisateur non autorisé) s’affichent ici. Étant donné que les utilisateurs sont gérés via le jetpackd démon sur chaque nœud, il est possible d’apporter des modifications aux clusters en cours d’exécution.
Connexion aux nœuds
L’authentification utilisateur est basée sur une clé SSH. La clé publique pour chaque utilisateur disposant d’un accès de connexion est obtenue auprès de l’utilisateur correspondant dans CycleCloud et intermédiaire dans chaque machine virtuelle. Si l’utilisateur n’a pas de clé publique, le compte d’utilisateur local est toujours créé, mais l’utilisateur ne pourra pas se connecter tant qu’une clé n’aura pas été intermédiaire manuellement.
Pour les clusters avec un serveur NFS, le répertoire de base de chaque utilisateur est disponible sur le NAS avec le répertoire de base /shared/home. Pour les clusters sans serveur NFS, le répertoire de base est /home et est local pour chaque machine virtuelle du cluster.
Révocation de l’accès
Si l’utilisateur a obtenu un accès de connexion via une autorisation partagée, supprimez simplement ces autorisations partagées à l’aide du lien Accès sur la page du cluster. Si l’utilisateur a le rôle « Global Node Administration » ou « Global Node User », un administrateur doit supprimer ces rôles sous l’onglet utilisateurs de la page Paramètres.
Notes
Les comptes d’utilisateur ne sont pas supprimés sur les nœuds en cours d’exécution. Au lieu de cela, l’interpréteur de commandes de connexion pour ces comptes d’utilisateur révoqués est remplacé par /sbin/nologin. Cela refuse l’accès à la connexion sans détruire les données de l’utilisateur.
Désactivation du système de gestion des utilisateurs Built-In
Le système de gestion des utilisateurs intégré est activé par défaut sur chaque installation CycleCloud. Il s’agit d’un paramètre à l’échelle de l’installation. Tous les clusters gérés par le serveur CycleCloud seront activés. Pour désactiver, accédez à la section CycleCloud de la page Paramètres . La zone contextuelle contient une option pour l’authentification de nœud et la sélection de Désactivé dans la liste déroulante garantit qu’aucun compte d’utilisateur local à l’exception de l’utilisateur de l’agent de machine virtuelle ne sera créé.
Systèmes de gestion des utilisateurs tiers
Pour les clusters de production d’entreprise, il est recommandé de gérer l’accès utilisateur via un service d’annuaire tel que LDAP, Active Directory ou NIS. Cette intégration peut être implémentée en configurant PAM et NSS dans les images de machine virtuelle utilisées sur chaque nœud, ou en créant des projets CycleCloud qui sont exécutés pendant la phase d’installation logicielle de chaque nœud.
Azure domaine Active Directory Service fournit un service managé pour les serveurs Active Directory, et des instructions pour rejoindre un domaine Linux sont disponibles ici.