在資料科學虛擬機器上設定通用身分識別

  • 發行項

在 Microsoft Azure 虛擬機(VM)或 資料科學虛擬機器 (DSVM)上,您會在布建 VM 時建立本機用戶帳戶。 然後,使用者會使用這些使用者帳戶的認證向 VM 進行驗證。 如果您有多個使用者需要存取的 VM,認證管理可能會變得困難。 若要解決此問題,您可以透過標準型身分識別提供者來部署一般用戶帳戶,以及管理這些帳戶。 接著,您可以使用單一認證集來存取 Azure 上的多個資源,包括多個 DSVM。

Active Directory 是熱門的身分識別提供者。 Azure 支援 做為雲端服務和內部部署目錄。 您可以使用 Microsoft Entra ID 或 內部部署的 Active Directory,在 Azure 虛擬機擴展集中驗證獨立 DSVM 或 DSVM 叢集上的使用者。 若要這樣做,您可以將 DSVM 實例加入 Active Directory 網域。

如果您已經有 Active Directory,便可以作為通用身分識別提供者。 如果您沒有 Active Directory,則可以透過 Microsoft Entra Domain Services,在 Azure 上執行受控 Active Directory 執行個體。

Microsoft Entra ID 的檔提供詳細的管理指示,包括有關如何將 Microsoft Entra ID 連線到內部部署目錄的指引,如果您有的話。

本文說明如何使用 Microsoft Entra Domain Services 在 Azure 上設定完全受控的 Active Directory 網域服務。 然後,您可以將 DSVM 加入受控 Active Directory 網域。 這種方法可讓使用者透過一般用戶帳戶和認證來存取 DSVM 的集區(和其他 Azure 資源)。

在 Azure 上設定完全受控的 Active Directory 網域

Microsoft Entra Domain Services 可讓您輕鬆地管理您的身分識別。 它在 Azure 上提供完全受控的服務。 在這個 Active Directory 網域上,您會管理使用者和群組。 若要在您目錄中設定 Azure 裝載的 Active Directory 網域和使用者帳戶,請遵循以下步驟:

  1. 在 Azure 入口網站中,將使用者新增至 Active Directory:

    1. 以全域 管理員 istrator 身分登入 Azure 入口網站

    2. 流覽至 Microsoft Entra ID>使用者>所有使用者

    3. 選取 [新增使用者]

      [ 使用者 ] 窗格隨即開啟,如下列螢幕快照所示:

      顯示 [新增使用者] 窗格的螢幕快照。

    4. 輸入使用者的相關信息,例如 [名稱] 和 [用戶名稱]。 使用者名稱的網域名稱部分必須是初始預設網域名稱 "[網域名稱].onmicrosoft.com",或是已驗證的非同盟自訂網域名稱,例如"contoso.com"。

    5. 複製或記下產生的用戶密碼。 完成此程序之後,您必須提供此密碼給使用者

    6. 您可以選擇性地開啟並填寫使用者設定檔群組目錄角色中的資訊

    7. 在 [使用者] 底下,選取 [建立]

    8. 安全地將產生的密碼散發給新使用者,讓用戶能夠登入

  2. 建立 Microsoft Entra Domain Services 執行個體。 如需詳細資訊,請參閱使用 Azure 入口網站 啟用 Microsoft Entra Domain Services(建立實例並設定基本設定一節)。 您必須更新 Active Directory 中現有的用戶密碼,以同步處理 Microsoft Entra Domain Services 中的密碼。 您也需要將 DNS 新增至 Microsoft Entra Domain Services,如<完成 Azure 入口網站 的 [基本概念] 視窗中的欄位,以在該區段中建立 Microsoft Entra Domain Services 實例中所述。

  3. 在上一個步驟的 [ 建立及設定虛擬網络 ] 區段中,在您建立的虛擬網路中建立個別的 DSVM 子網

  4. 在 DSVM 子網中建立一或多個 DSVM 實例

  5. 依照指示將 DSVM 新增至 Active Directory

  6. 掛接 Azure 檔案儲存體 共用來裝載主目錄或筆記本目錄,讓工作區可在任何計算機上掛接。 如果您需要緊密的檔案層級許可權,則需要在一或多個 VM 上執行的網络文件系統 [NFS]

    1. 建立 Azure 檔案服務共用

    2. 在 Linux DSVM 上掛接此共用。 當您在 Azure 入口網站上的儲存體帳戶中,選取「Azure 檔案儲存體」共用的 [連線] 時,系統會顯示要在 Linux DSVM 的 Bash 殼層中執行的命令。 命令看起來像這樣:

    sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp

  7. 例如,假設您在 /data/workspace 目錄中掛接 Azure 檔案儲存體 共用。 現在,為共用中的每個使用者建立目錄:

    • /data/workspace/user1
    • /data/workspace/user2
    • 等等。

    在每個使用者的工作區中建立 notebooks 目錄

  8. 在中建立 notebooks 的符號連結 $HOME/userx/notebooks/remote

您現在有 Active Directory 實例中的使用者,其裝載於 Azure 中。 使用 Active Directory 認證,使用者可以登入已加入 Microsoft Entra Domain Services 的任何 DSVM(SSH 或 JupyterHub)。 由於 Azure 檔案儲存體 共用會裝載使用者工作區,因此使用者在使用 JupyterHub 時,可以從任何 DSVM 存取其筆記本和其他工作。

若要自動調整,您可以使用虛擬機擴展集來建立 VM 集區,這些 VM 全都以這種方式加入網域,並掛接共用磁碟。 用戶可以登入虛擬機擴展集中的任何可用計算機,並可存取其筆記本儲存所在的共用磁碟。

下一步