Delen via

Clienttoegang beheren

  • Artikel

In dit artikel wordt uitgelegd hoe u aangepaste clienttoegangsbeleidsregels voor uw opslagdoelen maakt en toepast.

Clienttoegangsbeleid bepaalt hoe clients verbinding mogen maken met de export van het opslagdoel. U kunt zaken beheren zoals root-squash en lees-/schrijftoegang op clienthost- of netwerkniveau.

Toegangsbeleid wordt toegepast op een naamruimtepad, wat betekent dat u verschillende toegangsbeleidsregels kunt gebruiken voor twee verschillende exports op een NFS-opslagsysteem.

Deze functie is bedoeld voor werkstromen waarin u moet bepalen hoe verschillende groepen clients toegang hebben tot de opslagdoelen.

Als u geen nauwkeurige controle over toegang tot opslagdoel nodig hebt, kunt u het standaardbeleid gebruiken of het standaardbeleid aanpassen met extra regels. Als u bijvoorbeeld root squash wilt inschakelen voor alle clients die verbinding maken via de cache, kunt u het beleid met de naam standaard bewerken om de root squash-instelling toe te voegen.

Een clienttoegangsbeleid maken

Gebruik de pagina Clienttoegangsbeleid in Azure Portal om beleidsregels te maken en te beheren.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Elk beleid bestaat uit regels. De regels worden toegepast op hosts in volgorde van het kleinste bereik (host) naar de grootste (standaardinstelling). De eerste regel die overeenkomt, wordt toegepast en latere regels worden genegeerd.

Als u een nieuw toegangsbeleid wilt maken, klikt u op de knop + Toegangsbeleid toevoegen boven aan de lijst. Geef het nieuwe toegangsbeleid een naam en voer ten minste één regel in.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

In de rest van deze sectie worden de waarden uitgelegd die u in regels kunt gebruiken.

Bereik

De bereikterm en het adresfilter werken samen om te definiëren welke clients worden beïnvloed door de regel.

Gebruik deze om op te geven of de regel van toepassing is op een afzonderlijke client (host), een bereik van IP-adressen (netwerk) of alle clients (standaard).

Selecteer de juiste bereikwaarde voor uw regel:

  • Host : de regel is van toepassing op een afzonderlijke client
  • Netwerk : de regel is van toepassing op clients in een bereik van IP-adressen
  • Standaard : de regel is van toepassing op alle clients.

Regels in een beleid worden in die volgorde geëvalueerd. Nadat een clientkoppelingsaanvraag overeenkomt met één regel, worden de andere genegeerd.

Adresfilter

De waarde van het adresfilter geeft aan welke clients overeenkomen met de regel.

Als u het bereik instelt op host, kunt u slechts één IP-adres opgeven in het filter. Voor de standaardinstelling voor het bereik kunt u geen IP-adressen invoeren in het veld Adresfilter, omdat het standaardbereik overeenkomt met alle clients.

Geef het IP-adres of het ip-adresbereik voor deze regel op. Gebruik CIDR-notatie (bijvoorbeeld: 0.1.0.0/16) om een adresbereik op te geven.

Toegangsniveau

Stel in welke bevoegdheden de clients moeten verlenen die overeenkomen met het bereik en filter.

Opties zijn lezen/schrijven, alleen-lezen of geen toegang.

SUID

Schakel het SELECTIEVAKJE SUID in om toe te staan dat bestanden in de opslag gebruikers-id's instellen bij toegang.

SUID wordt doorgaans gebruikt om de bevoegdheden van een gebruiker tijdelijk te verhogen, zodat de gebruiker een taak met betrekking tot dat bestand kan uitvoeren.

Toegang tot submount

Schakel dit selectievakje in om de opgegeven clients toe te staan de submappen van deze export rechtstreeks te koppelen.

Root squash

Kies of u root squash wilt instellen voor clients die overeenkomen met deze regel.

Met deze instelling bepaalt u hoe Azure HPC Cache aanvragen van de hoofdgebruiker op clientcomputers behandelt. Wanneer root squash is ingeschakeld, worden hoofdgebruikers van een client automatisch toegewezen aan een niet-bevoegde gebruiker wanneer ze aanvragen verzenden via de Azure HPC Cache. Het voorkomt ook dat clientaanvragen bits voor set-UID-machtigingen gebruiken.

Als root squash is uitgeschakeld, wordt een aanvraag van de clienthoofdgebruiker (UID 0) doorgegeven aan een back-end NFS-opslagsysteem als hoofdmap. Deze configuratie kan ongepaste bestandstoegang toestaan.

Het instellen van root-squash voor clientaanvragen kan extra beveiliging bieden voor de back-endsystemen van uw opslagdoel. Dit kan belangrijk zijn als u een NAS-systeem gebruikt dat is geconfigureerd no_root_squash als opslagdoel. (Lees meer over Vereisten voor NFS-opslagdoel.)

Als u root squash inschakelt, moet u ook de anonieme id-gebruikerswaarde instellen. De portal accepteert gehele getallen tussen 0 en 4294967295. (De oude waarden -2 en -1 worden ondersteund voor achterwaartse compatibiliteit, maar niet aanbevolen voor nieuwe configuraties.)

Deze waarden worden toegewezen aan specifieke gebruikerswaarden:

  • -2 of 65534 (niemand)
  • -1 of 65535 (geen toegang)
  • 0 (niet-gemachtigde hoofdmap)

Uw opslagsysteem heeft mogelijk andere waarden met speciale betekenissen.

Toegangsbeleid bijwerken

U kunt toegangsbeleid bewerken of verwijderen uit de tabel op de pagina Toegangsbeleid voor clients.

Klik op de beleidsnaam om het te openen voor bewerken.

Als u een beleid wilt verwijderen, markeert u het selectievakje naast de naam in de lijst en klikt u vervolgens op de knop Verwijderen boven aan de lijst. U kunt het beleid met de naam 'standaard' niet verwijderen.

Notitie

U kunt geen toegangsbeleid verwijderen dat wordt gebruikt. Verwijder het beleid uit alle naamruimtepaden die deze bevatten voordat u het probeert te verwijderen.

Volgende stappen

  • Pas toegangsbeleid toe in de naamruimtepaden voor uw opslagdoelen. Lees De geaggregeerde naamruimte instellen voor meer informatie.