Creación de un clúster con un dominio de AD

PDFRSS

aviso

En esta sección introductoria se describe cómo configurar AWS ParallelCluster con un servidor de Active Directory (AD) administrado a través del Protocolo ligero de acceso a directorios (LDAP). El LDAP no es un protocolo seguro. Para los sistemas de producción, recomendamos encarecidamente el uso de certificados TLS (LDAPS), tal y como se describe en la siguiente sección Ejemplo de configuraciones de clústeres de AWS Managed Microsoft AD sobre LDAP(S).

Configure el clúster para que se integre con un directorio especificando la información pertinente en la sección DirectoryService del archivo de configuración del clúster. Para obtener más información, consulte la sección de configuración de DirectoryService.

Puede usar el siguiente ejemplo para integrar el clúster con un AWS Managed Microsoft AD en el Protocolo ligero de acceso a directorios (LDAP).

Definiciones específicas que se requieren para una configuración de AWS Managed Microsoft AD basada en LDAP:

• El parámetro ldap_auth_disable_tls_never_use_in_production debe estar establecido como True en DirectoryService/AdditionalSssdConfigs.

• Puede especificar los nombres de host del controlador o las direcciones IP para DirectoryService/DomainAddr.

• La sintaxis DirectoryService/DomainReadOnlyUser debe ser la siguiente:

  cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

Obtenga los datos de configuración de AWS Managed Microsoft AD:

$ aws ds describe-directories --directory-id "d-abcdef01234567890"

{
    "DirectoryDescriptions": [
        {
            "DirectoryId": "d-abcdef01234567890",
            "Name": "corp.example.com",
            "DnsIpAddrs": [
                "203.0.113.225",
                "192.0.2.254"
            ],
            "VpcSettings": {
                "VpcId": "vpc-021345abcdef6789",
                "SubnetIds": [
                    "subnet-1234567890abcdef0",
                    "subnet-abcdef01234567890"
                ],
                "AvailabilityZones": [
                    "region-idb",
                    "region-idd"
                ]
            }
        }
    ]
}

Configuración de clúster para un AWS Managed Microsoft AD:

Region: region-id
Image:
  Os: alinux2
HeadNode:
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-1234567890abcdef0
  Ssh:
    KeyName: pcluster
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue1
      ComputeResources:
        - Name: t2micro
          InstanceType: t2.micro
          MinCount: 1
          MaxCount: 10
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
  DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True

Para usar esta configuración para un Simple AD, cambie el valor de la propiedad DomainReadOnlyUser en la sección DirectoryService:

DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234
  DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True

Consideraciones:

• Le recomendamos que utilice LDAP sobre TLS/SSL (o LDAPS) en lugar de utilizar LDAP únicamente. El TLS/SSL garantiza que la conexión esté cifrada.

• El valor de la propiedad DirectoryService/DomainAddr coincide con las entradas de la lista DnsIpAddrs de la salida describe-directories.

• Se recomienda que el clúster utilice subredes que estén ubicadas en la misma zona de disponibilidad a la que apunte DirectoryService/DomainAddr. Si utiliza una configuración personalizada del Protocolo de configuración dinámica de host (DHCP) que se recomienda para las VPC de directorio, y sus subredes no están ubicadas en la zona de disponibilidad de DirectoryService/DomainAddr, es posible que se produzca tráfico cruzado entre las zonas de disponibilidad. No es necesario usar configuraciones de DHCP personalizadas para usar la característica de integración de AD multiusuario.

• El valor de la propiedad DirectoryService/DomainReadOnlyUser especifica un usuario que debe crearse en el directorio. Este usuario no se crea de forma predeterminada. Le recomendamos que no dé permiso a este usuario para modificar los datos del directorio.

• El valor de la propiedad DirectoryService/PasswordSecretArn apunta a un secreto de AWS Secrets Manager que contiene la contraseña del usuario que especificó para la propiedad DirectoryService/DomainReadOnlyUser. Si la contraseña de este usuario cambia, actualice el valor secreto y actualice el clúster. Para actualizar el clúster para el nuevo valor secreto, debe detener la flota de computación con el comando pcluster update-compute-fleet. Si ha configurado el clúster para usar LoginNodes, detenga LoginNodes/Pools y actualice el clúster después de establecer LoginNodes/Pools/Count en 0. A continuación, ejecute el siguiente comando desde el nodo principal del clúster.

   sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Para ver otro ejemplo, consulte también Integración de Active Directory.