この記事では、ストレージ ターゲットのカスタム クライアント アクセス ポリシーを作成して適用する方法について説明します。
クライアント アクセス ポリシーは、クライアントがストレージ ターゲットのエクスポートへの接続を許可する方法を制御します。 ルート スカッシュや読み取り/書き込みアクセスなどを、クライアント ホストまたはネットワーク レベルで制御できます。
アクセス ポリシーは名前空間パスに適用されます。つまり、NFS ストレージ システム上の 2 つの異なるエクスポートに対して異なるアクセス ポリシーを使用できます。
この機能は、さまざまなクライアント グループがストレージ ターゲットにアクセスする方法を制御する必要があるワークフロー用です。
ストレージ ターゲット アクセスをきめ細かく制御する必要がない場合は、既定のポリシーを使用するか、追加の規則を使用して既定のポリシーをカスタマイズできます。 たとえば、キャッシュ経由で接続するすべてのクライアントに対してルート スカッシュを有効にする場合は、 default という名前のポリシーを編集してルート スカッシュ設定を追加できます。
クライアント アクセス ポリシーを作成する
Azure portal の [クライアント アクセス ポリシー ] ページを使用して、ポリシーを作成および管理します。
各ポリシーはルールで構成されます。 ルールは、最小スコープ (ホスト) から最大 (既定) までの順序でホストに適用されます。 一致する最初のルールが適用され、それ以降のルールは無視されます。
新しいアクセス ポリシーを作成するには、一覧の上部にある [ + アクセス ポリシーの追加] ボタンをクリックします。 新しいアクセス ポリシーに名前を付け、少なくとも 1 つのルールを入力します。
![複数のルールが入力された [アクセス ポリシーの編集] ブレードのスクリーンショット。[OK] をクリックしてルールを保存します。](media/add-policy.png)
このセクションの残りの部分では、ルールで使用できる値について説明します。
Scope
スコープ用語とアドレス フィルターが連携して、ルールの影響を受けるクライアントを定義します。
ルールを使用して、ルールが個々のクライアント (ホスト)、IP アドレスの範囲 (ネットワーク)、またはすべてのクライアント (既定) に適用されるかどうかを指定します。
ルールに適した スコープ 値を選択します。
- ホスト - ルールは個々のクライアントに適用されます
- ネットワーク - 規則は、IP アドレスの範囲のクライアントに適用されます
- 既定値 - ルールはすべてのクライアントに適用されます。
ポリシー内のルールは、その順序で評価されます。 クライアント マウント要求が 1 つのルールと一致した後、他のルールは無視されます。
アドレス フィルター
Address フィルター値は、ルールに一致するクライアントを指定します。
スコープを ホストに設定した場合、フィルターで指定できる IP アドレスは 1 つだけです。 既定のスコープ設定では、 既定のスコープはすべてのクライアントと一致するため、[ アドレス フィルター ] フィールドに IP アドレスを入力することはできません。
この規則の IP アドレスまたはアドレス範囲を指定します。 アドレス範囲を指定するには、CIDR 表記 (例: 0.1.0.0/16) を使用します。
アクセス レベル
スコープとフィルターに一致するクライアントに付与する権限を設定します。
オプションは、読み取り/書き込み、読み取り専用、またはアクセスなしです。
Suid
ストレージ内のファイルがアクセス時にユーザー ID を設定できるようにするには、 SUID ボックスをオンにします。
SUID は通常、ユーザーがそのファイルに関連するタスクを実行できるように、ユーザーの特権を一時的に増やすために使用されます。
サブマウント アクセス
指定したクライアントがこのエクスポートのサブディレクトリを直接マウントできるようにするには、このチェック ボックスをオンにします。
ルートスカッシュ
この規則に一致するクライアントのルート スカッシュを設定するかどうかを選択します。
この設定は、Azure HPC Cache がクライアント コンピューター上のルート ユーザーからの要求を処理する方法を制御します。 ルート スカッシュが有効になっている場合、クライアントのルート ユーザーは、Azure HPC Cache 経由で要求を送信すると、非特権ユーザーに自動的にマップされます。 また、クライアント要求で set-UID アクセス許可ビットが使用されるのを防ぎます。
ルート スカッシュが無効になっている場合、クライアント ルート ユーザー (UID 0) からの要求は、ルートとしてバックエンド NFS ストレージ システムに渡されます。 この構成により、不適切なファイル アクセスが許可される可能性があります。
クライアント要求のルート スカッシュを設定すると、ストレージ ターゲット バックエンド システムのセキュリティを強化できます。 これは、 no_root_squash をストレージ ターゲットとして構成された NAS システムを使用する場合に重要な場合があります。 ( NFS ストレージ ターゲットの前提条件の詳細を参照してください)。
ルート スカッシュを有効にする場合は、匿名 ID ユーザー値も設定する必要があります。 ポータルは、0 ~ 4294967295の整数値を受け入れます。 (以前の値 -2 と -1 は下位互換性のためにサポートされていますが、新しい構成では推奨されません)。
これらの値は、特定のユーザー値にマップされます。
- -2 または 65534 (誰も)
- -1 または 65535 (アクセスなし)
- 0 (特権のないルート)
ストレージ・システムには、特別な意味を持つ他の値が含まれています。
アクセス ポリシーを更新する
[クライアント アクセス ポリシー] ページのテーブルから アクセス ポリシー を編集または削除できます。
ポリシー名をクリックして、編集用に開きます。
ポリシーを削除するには、リスト内の名前の横にあるチェックボックスをオンにし、リストの上部にある [ 削除 ] ボタンをクリックします。 "default" という名前のポリシーを削除することはできません。
Note
使用中のアクセス ポリシーを削除することはできません。 削除を試みる前に、ポリシーを含む名前空間パスからポリシーを削除します。
次のステップ
- ストレージ ターゲットの名前空間パスにアクセス ポリシーを適用します。 方法については、集計された名前空間の設定に関するページを参照してください。