Control del acceso de cliente

En este artículo se explica cómo crear y aplicar directivas de acceso de cliente personalizadas para los destinos de almacenamiento.

Las directivas de acceso de cliente controlan cómo se permite a los clientes conectarse a los destinos de exportación de almacenamiento. Puede controlar aspectos como el root squash, así como el acceso de lectura y escritura a nivel de host de cliente o de red.

Las directivas de acceso se aplican a una ruta de acceso de espacio de nombres, lo que significa que puede usar directivas de acceso diferentes para dos exportaciones distintas en un sistema de almacenamiento NFS.

Esta característica es para flujos de trabajo en los que necesita controlar cómo los distintos grupos de clientes acceden a los destinos de almacenamiento.

Si no necesita un control específico sobre el acceso de destino de almacenamiento, puede usar la directiva predeterminada o puede personalizar la directiva predeterminada con reglas adicionales. Por ejemplo, si desea habilitar la squash raíz para todos los clientes que se conectan a través de la memoria caché, puede editar la directiva denominada default para agregar la configuración de squash raíz.

Creación de una directiva de acceso de cliente

Use la página Directivas de acceso de cliente en Azure Portal para crear y administrar directivas.

Cada directiva se compone de reglas. Las reglas se aplican a los hosts en orden desde el ámbito más pequeño (host) hasta el mayor (valor predeterminado). La primera regla que coincide se aplica, y las reglas posteriores se ignoran.

Para crear una nueva directiva de acceso, haga clic en el botón + Agregar directiva de acceso en la parte superior de la lista. Asigne un nombre a la nueva directiva de acceso y escriba al menos una regla.

En el resto de esta sección se explican los valores que puede usar en las reglas.

Ámbito

El término de ámbito y el filtro de direcciones funcionan conjuntamente para definir qué clientes se ven afectados por la regla.

Úselos para especificar si la regla se aplica a un cliente individual (host), un intervalo de direcciones IP (red) o a todos los clientes (valor predeterminado).

Seleccione el valor de Ámbito adecuado para la regla:

• Host : la regla se aplica a un cliente individual.
• Red : la regla se aplica a los clientes de un intervalo de direcciones IP.
• Valor predeterminado : la regla se aplica a todos los clientes.

Las reglas de una directiva se evalúan en ese orden. Después de que una solicitud de montaje de cliente coincida con una regla, se omiten las demás.

Filtro de direcciones

El valor de filtro Address especifica qué clientes coinciden con la regla.

Si establece el ámbito en host, solo puede especificar una dirección IP en el filtro. Para el valor predeterminado de la configuración de ámbito, no puede escribir ninguna dirección IP en el campo Filtro de direcciones porque el ámbito predeterminado coincide con todos los clientes.

Especifique la dirección IP o el intervalo de direcciones para esta regla. Use la notación CIDR (ejemplo: 0.1.0.0/16) para especificar un intervalo de direcciones.

Nivel de acceso

Defina los privilegios para conceder a los clientes que coincidan con el alcance y el filtro.

Las opciones son de lectura y escritura, de solo lectura o sin acceso.

SUID

Active la casilla SUID para permitir que los archivos del almacenamiento establezcan identificadores de usuario tras el acceso.

SUID normalmente se usa para aumentar temporalmente los privilegios de un usuario para que el usuario pueda realizar una tarea relacionada con ese archivo.

Acceso de submontaje

Active esta casilla para permitir que los clientes especificados monten directamente los subdirectorios de esta exportación.

Squash raíz

Elija si desea establecer root squash para los clientes que coinciden con esta regla.

Esta configuración controla cómo Azure HPC Cache trata las solicitudes del usuario raíz en las máquinas cliente. Cuando el root squash está habilitado, los usuarios con privilegios de root de un cliente se asignan automáticamente a un usuario sin privilegios cuando envían solicitudes a través de Azure HPC Cache. También impide que las solicitudes de cliente utilicen los bits de permisos de set-UID.

Si root squash está deshabilitado, se pasa una solicitud del usuario root del cliente (UID 0) a un sistema de almacenamiento NFS de back-end como root. Esta configuración podría permitir el acceso inadecuado a archivos.

Configurar root squash para las solicitudes de los clientes puede proporcionar seguridad adicional para los sistemas de fondo de destino de almacenamiento. Esto puede ser importante si usa un sistema NAS configurado con no_root_squash como destino de almacenamiento. (Obtenga más información sobre los requisitos previos del destino de almacenamiento NFS).

Si activa el root squash, también debe establecer el valor de ID de usuario anónimo. El portal acepta valores enteros entre 0 y 4294967295. (Los valores antiguos -2 y -1 son compatibles con versiones anteriores, pero no se recomiendan para las nuevas configuraciones).

Estos valores se asignan a valores de usuario específicos:

• -2 o 65534 (nadie)
• -1 o 65535 (sin acceso)
• 0 (raíz sin privilegios)

Es posible que el sistema de almacenamiento tenga otros valores con significados especiales.

Actualizar directivas de acceso

Puede editar o eliminar directivas de acceso de la tabla en la página Directivas de acceso de cliente .

Haga clic en el nombre de la directiva para abrirlo y editarlo.

Para eliminar una directiva, marque la casilla situada junto a su nombre en la lista y, a continuación, haga clic en el botón Eliminar situado en la parte superior de la lista. No se puede eliminar la directiva denominada "default".

Pasos siguientes

• Aplique políticas de acceso en las rutas del espacio de nombres para los destinos de almacenamiento. Lea Configuración del espacio de nombres agregado para obtener información sobre cómo hacerlo.