Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como criar e aplicar políticas de acesso personalizadas para os seus alvos de armazenamento.
As políticas de acesso ao cliente controlam como os clientes se podem ligar às exportações de destino de armazenamento. Podes controlar coisas como root squash e acesso de leitura/escrita ao nível do host cliente ou da rede.
As políticas de acesso são aplicadas a um caminho de namespace, o que significa que pode usar políticas de acesso diferentes para duas exportações distintas num sistema de armazenamento NFS.
Esta funcionalidade é para fluxos de trabalho onde precisa de controlar como diferentes grupos de clientes acedem aos alvos de armazenamento.
Se não precisares de controlo detalhado sobre o acesso ao alvo de armazenamento, podes usar a política padrão, ou podes personalizar a política padrão com regras extra. Por exemplo, se quiseres ativar o root squash para todos os clientes que se ligam através da cache, podes editar a política chamada default para adicionar a definição root squash.
Criar uma política de acesso ao cliente
Use a página de políticas de acesso ao cliente no portal Azure para criar e gerir políticas.
Cada apólice é composta por regras. As regras são aplicadas aos hosts por ordem do menor escopo (host) ao maior (padrão). A primeira regra que coincide é aplicada e as regras seguintes são ignoradas.
Para criar uma nova política de acesso, clique no botão + Adicionar política de acesso no topo da lista. Dá um nome à nova política de acesso e insere pelo menos uma regra.
O resto desta secção explica os valores que podes usar nas regras.
Scope
O termo de âmbito e o filtro de endereços trabalham em conjunto para definir quais os clientes afetados pela regra.
Use-os para especificar se a regra se aplica a um cliente individual (host), a um intervalo de endereços IP (rede) ou a todos os clientes (padrão).
Selecione o valor de âmbito apropriado para a sua regra:
- Anfitrião - A regra aplica-se a um cliente individual
- Rede - A regra aplica-se a clientes numa variedade de endereços IP
- Padrão - A regra aplica-se a todos os clientes.
As regras de uma apólice são avaliadas por essa ordem. Depois de um pedido de montagem de cliente corresponder a uma regra, as outras são ignoradas.
Filtro de endereços
O valor do filtro de endereço especifica quais os clientes que correspondem à regra.
Se definires o escopo para host, podes especificar apenas um endereço IP no filtro. Quanto à definição padrão de escopo, não podes introduzir nenhum endereço IP no campo do filtro de Endereço porque o âmbito padrão corresponde a todos os clientes.
Especifique o endereço IP ou o intervalo de endereços para esta regra. Use a notação CIDR (exemplo: 0.1.0.0/16) para especificar um intervalo de endereços.
Nível de acesso
Defina que privilégios conceder aos clientes que correspondam ao âmbito e ao filtro.
As opções são leitura/escrita, só leitura ou sem acesso.
SUID
Verifique a caixa SUID para permitir que ficheiros em armazenamento definam IDs de utilizador ao aceder.
O SUID é tipicamente usado para aumentar temporariamente os privilégios do utilizador, de modo a que este possa realizar uma tarefa relacionada com esse ficheiro.
Acesso ao submonte
Assinale esta caixa para permitir que os clientes especificados montem diretamente os subdiretórios desta exportação.
Abóbora de raiz
Escolha se deve ou não definir root squash para clientes que cumpram esta regra.
Esta definição controla como o Azure HPC Cache trata os pedidos do utilizador root nas máquinas clientes. Quando o root squash está ativado, os utilizadores root de um cliente são automaticamente mapeados para um utilizador não privilegiado quando enviam pedidos através da cache HPC do Azure. Também impede que os pedidos do cliente utilizem bits de permissão set-UID.
Se o root squash estiver desativado, um pedido do utilizador root cliente (UID 0) é encaminhado para um sistema de armazenamento NFS back-end como root. Esta configuração pode permitir acesso inadequado a ficheiros.
Definir root squash para pedidos de clientes pode fornecer segurança extra para os seus sistemas de back-end alvo de armazenamento. Isto pode ser importante se usares um sistema NAS configurado como no_root_squash alvo de armazenamento. (Leia mais sobre os pré-requisitos de alvos de armazenamento NFS.)
Se ativares o root squash, também tens de definir o valor de utilizador do ID anónimo. O portal aceita valores inteiros entre 0 e 4294967295. (Os valores antigos -2 e -1 são suportados para compatibilidade retroativa, mas não recomendados para novas configurações.)
Estes valores são mapeados para valores específicos do utilizador:
- -2 ou 65534 (ninguém)
- -1 ou 65535 (sem acesso)
- 0 (raiz não privilegiada)
O teu sistema de armazenamento pode ter outros valores com significados especiais.
Atualizar políticas de acesso
Pode editar ou eliminar políticas de acesso a partir da tabela na página de políticas de acesso ao cliente .
Clique no nome da apólice para abrir para edição.
Para eliminar uma política, assinale a caixa ao lado do nome na lista e depois clique no botão Eliminar no topo da lista. Não podes apagar a política chamada "default".
Note
Não pode eliminar uma política de acesso que esteja em uso. Remova a política de quaisquer caminhos de namespace que a incluam antes de tentar apagá-la.
Passos seguintes
- Aplique políticas de acesso nos caminhos do namespace para os seus alvos de armazenamento. Leia : Configure o namespace agregado para aprender como.