Contrôler l’accès du client

Cet article explique comment créer et appliquer des stratégies d’accès client personnalisées pour vos cibles de stockage.

Les stratégies d’accès client contrôlent la façon dont les clients sont autorisés à se connecter aux exportations de cibles de stockage. Vous pouvez contrôler des éléments tels que le squash racine et l’accès en lecture/écriture au niveau de l’hôte client ou du réseau.

Les stratégies d’accès sont appliquées à un chemin d’accès d’espace de noms, ce qui signifie que vous pouvez utiliser différentes stratégies d’accès pour deux exportations différentes sur un système de stockage NFS.

Cette fonctionnalité concerne les flux de travail dans lesquels vous devez contrôler la façon dont différents groupes de clients accèdent aux cibles de stockage.

Si vous n’avez pas besoin d’un contrôle précis sur l’accès cible de stockage, vous pouvez utiliser la stratégie par défaut ou personnaliser la stratégie par défaut avec des règles supplémentaires. Par exemple, si vous souhaitez activer le squash de super-utilisateur pour tous les clients qui se connectent via le cache, vous pouvez modifier la stratégie nommée par défaut pour ajouter le paramètre de squash de super-utilisateur.

Créer une stratégie d’accès client

Utilisez la page stratégies d’accès client dans le portail Azure pour créer et gérer des stratégies.

Chaque stratégie est constituée de règles. Les règles sont appliquées aux hôtes dans l’ordre entre la plus petite étendue (hôte) et la plus grande (valeur par défaut). La première règle qui correspond est appliquée et les règles ultérieures sont ignorées.

Pour créer une stratégie d’accès, cliquez sur le bouton + Ajouter une stratégie d’accès en haut de la liste. Donnez un nom à la nouvelle stratégie d’accès et entrez au moins une règle.

Le reste de cette section explique les valeurs que vous pouvez utiliser dans les règles.

Scope

Le terme d’étendue et le filtre d’adresse fonctionnent ensemble pour définir les clients affectés par la règle.

Utilisez-les pour spécifier si la règle s’applique à un client individuel (hôte), à une plage d’adresses IP (réseau) ou à tous les clients (par défaut).

Sélectionnez la valeur d’étendue appropriée pour votre règle :

• Hôte : la règle s’applique à un client individuel
• Réseau : la règle s’applique aux clients dans une plage d’adresses IP
• Valeur par défaut : la règle s’applique à tous les clients.

Les règles d’une stratégie sont évaluées dans cet ordre. Une fois qu’une demande de montage du client correspond à une règle, les autres sont ignorées.

Filtre d’adresse

La valeur du filtre d’adresse spécifie les clients qui correspondent à la règle.

Si vous définissez l’étendue sur l’hôte, vous ne pouvez spécifier qu’une seule adresse IP dans le filtre. Pour le paramètre d’étendue par défaut, vous ne pouvez pas entrer d’adresses IP dans le champ Filtre d’adresses , car l’étendue par défaut correspond à tous les clients.

Spécifiez l’adresse IP ou la plage d’adresses pour cette règle. Utilisez la notation CIDR (exemple : 0.1.0.0/16) pour spécifier une plage d’adresses.

Niveau d’accès

Définissez les privilèges à accorder aux clients qui correspondent à l’étendue et au filtre.

Les options sont en lecture/écriture, en lecture seule ou sans accès.

Identifiant d'utilisateur défini (SUID)

Cochez la case SUID pour autoriser les fichiers dans le stockage à définir les ID utilisateur lors de l’accès.

La SUID est généralement utilisée pour augmenter temporairement les privilèges d’un utilisateur afin que l’utilisateur puisse accomplir une tâche liée à ce fichier.

Accès au sous-montage

Cochez cette case pour autoriser les clients spécifiés à monter directement les sous-répertoires de cette exportation.

Courge racine

Choisissez d'activer ou non le root squash pour les clients qui correspondent à cette règle.

Ce paramètre contrôle la façon dont Azure HPC Cache traite les requêtes de l’utilisateur racine sur les machines clientes. Lorsque le root squash est activé, les utilisateurs root d’un client sont automatiquement associés à un utilisateur non privilégié lorsqu’ils envoient des requêtes via Azure HPC Cache. Il empêche également les demandes clientes d’utiliser des bits d’autorisation set-UID.

Si le root squash est désactivé, une requête de l’utilisateur root du client (UID 0) est transmise à un système de stockage NFS back-end en tant que root. Cette configuration peut autoriser l’accès inapproprié aux fichiers.

La configuration du root squash pour les requêtes des clients peut offrir une sécurité supplémentaire pour vos systèmes de back-end de stockage cibles. Cela peut être important si vous utilisez un système NAS configuré avec no_root_squash comme cible de stockage. (En savoir plus sur les prérequis de la cible de stockage NFS.)

Si vous activez le squash de l’utilisateur root, vous devez également définir la valeur de l’utilisateur pour l’ID anonyme. Le portail accepte les valeurs entières comprises entre 0 et 4294967295. (Les anciennes valeurs -2 et -1 sont prises en charge pour la compatibilité descendante, mais pas recommandées pour les nouvelles configurations.)

Ces valeurs sont mappées à des valeurs utilisateur spécifiques :

• -2 ou 65534 (nobody)
• -1 ou 65535 (aucun accès)
• 0 (racine non privilégiée)

Votre système de stockage peut avoir d’autres valeurs avec des significations spéciales.

Mettre à jour les stratégies d’accès

Vous pouvez modifier ou supprimer des stratégies d’accès à partir de la table dans la page Stratégies d’accès client .

Cliquez sur le nom de la stratégie pour l’ouvrir pour modification.

Pour supprimer une stratégie, cochez la case en regard de son nom dans la liste, puis cliquez sur le bouton Supprimer en haut de la liste. Vous ne pouvez pas supprimer la stratégie nommée « default ».

Étapes suivantes

• Appliquez des stratégies d’accès dans les chemins d’accès de l’espace de noms pour vos cibles de stockage. Lisez Configurer l’espace de noms agrégé pour savoir comment procéder.