Kontrollera klientåtkomst

  • Artikel

Den här artikeln beskriver hur du skapar och tillämpar anpassade klientåtkomstprinciper för dina lagringsmål.

Klientåtkomstprinciper styr hur klienter tillåts ansluta till lagringsmålexporten. Du kan styra saker som rot squash och läs-/skrivåtkomst på klientvärd- eller nätverksnivå.

Åtkomstprinciper tillämpas på en namnområdessökväg, vilket innebär att du kan använda olika åtkomstprinciper för två olika exporter i ett NFS-lagringssystem.

Den här funktionen gäller för arbetsflöden där du behöver styra hur olika grupper av klienter får åtkomst till lagringsmålen.

Om du inte behöver detaljerad kontroll över lagringsmålåtkomsten kan du använda standardprincipen eller anpassa standardprincipen med extra regler. Om du till exempel vill aktivera root squash för alla klienter som ansluter via cacheminnet kan du redigera principen med namnet default för att lägga till root squash-inställningen.

Skapa en klientåtkomstprincip

Använd sidan Klientåtkomstprinciper i Azure-portalen för att skapa och hantera principer.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

Varje princip består av regler. Reglerna tillämpas på värdar i ordning från det minsta omfånget (värden) till det största (standardvärdet). Den första regeln som matchar tillämpas och senare regler ignoreras.

Om du vill skapa en ny åtkomstprincip klickar du på knappen + Lägg till åtkomstprincip överst i listan. Ge den nya åtkomstprincipen ett namn och ange minst en regel.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

I resten av det här avsnittet förklaras de värden som du kan använda i regler.

Omfång

Omfångstermen och adressfiltret fungerar tillsammans för att definiera vilka klienter som påverkas av regeln.

Använd dem för att ange om regeln gäller för en enskild klient (värd), ett intervall med IP-adresser (nätverk) eller alla klienter (standard).

Välj lämpligt omfångsvärde för regeln:

  • Värd – regeln gäller för en enskild klient
  • Nätverk – regeln gäller för klienter i ett intervall med IP-adresser
  • Standard – regeln gäller för alla klienter.

Regler i en princip utvärderas i den ordningen. När en klientmonteringsbegäran matchar en regel ignoreras de andra.

Adressfilter

Värdet för adressfilter anger vilka klienter som matchar regeln.

Om du anger omfånget som värd kan du bara ange en IP-adress i filtret. Som standard för omfångsinställningen kan du inte ange några IP-adresser i fältet Adressfilter eftersom standardomfånget matchar alla klienter.

Ange IP-adressen eller adressintervallet för den här regeln. Använd CIDR-notation (exempel: 0.1.0.0/16) för att ange ett adressintervall.

Åtkomstnivå

Ange vilka behörigheter som ska ge klienterna som matchar omfånget och filtret.

Alternativen är skrivskyddad, skrivskyddad eller ingen åtkomst.

SUID

Markera rutan SUID för att tillåta att filer i lagringen anger användar-ID vid åtkomst.

SUID används vanligtvis för att tillfälligt öka en användares behörigheter så att användaren kan utföra en uppgift som är relaterad till filen.

Undermonteringsåtkomst

Markera den här kryssrutan om du vill tillåta att de angivna klienterna monterar exportens underkataloger direkt.

Rot squash

Välj om du vill ange root squash för klienter som matchar den här regeln.

Den här inställningen styr hur Azure HPC Cache hanterar begäranden från rotanvändaren på klientdatorer. När root squash är aktiverat mappas rotanvändare från en klient automatiskt till en icke-privilegierad användare när de skickar begäranden via Azure HPC Cache. Det förhindrar också klientbegäranden från att använda set-UID-behörighetsbitar.

Om root squash har inaktiverats skickas en begäran från klientrotanvändaren (UID 0) till ett NFS-lagringssystem för serverdelen som rot. Den här konfigurationen kan tillåta olämplig filåtkomst.

Om du ställer in root squash för klientbegäranden kan du ge extra säkerhet för dina serverdelssystem för lagringsmål. Detta kan vara viktigt om du använder ett NAS-system som är konfigurerat med no_root_squash som lagringsmål. (Läs mer om Krav för NFS-lagringsmål.)

Om du aktiverar root squash måste du också ange användarvärdet för anonymt ID. Portalen accepterar heltalsvärden mellan 0 och 4294967295. (De gamla värdena -2 och -1 stöds för bakåtkompatibilitet, men rekommenderas inte för nya konfigurationer.)

Dessa värden mappas till specifika användarvärden:

  • -2 eller 65534 (ingen)
  • -1 eller 65535 (ingen åtkomst)
  • 0 (oprivilegierad rot)

Ditt lagringssystem kan ha andra värden med särskilda betydelser.

Uppdatera åtkomstprinciper

Du kan redigera eller ta bort åtkomstprinciper från tabellen på sidan Klientåtkomstprinciper .

Klicka på principnamnet för att öppna det för redigering.

Om du vill ta bort en princip markerar du kryssrutan bredvid dess namn i listan och klickar sedan på knappen Ta bort överst i listan. Du kan inte ta bort principen med namnet "default".

Kommentar

Du kan inte ta bort en åtkomstprincip som används. Ta bort principen från alla namnområdessökvägar som innehåller den innan du försöker ta bort den.

Nästa steg