Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Login-Knoten bereitgestellt von AWS ParallelCluster
Ab Version 3.7.0 können AWS ParallelCluster Clusteradministratoren Anmeldeknoten bereitstellen, die Benutzern Zugriff auf die Ausführung von Jobs gewähren, anstatt direkt auf den Cluster-Kopfknoten zuzugreifen. Clusterbenutzer mit entsprechenden Berechtigungen können Active Directory oder ihre SSH-Anmeldeinformationen verwenden, um sich anzumelden, ihre Jobs einzureichen und zu verwalten. Dadurch kann die Clusterverwaltung verbessert und die Wahrscheinlichkeit minimiert werden, dass die Ressourcen des Hauptknotens, die für die Verwaltung des Clusters benötigt werdenSlurm, aufgebraucht werden. Angemeldete Benutzer haben außerdem Zugriff auf den gesamten gemeinsam genutzten Speicher des Clusters, der auf den Anmeldeknoten bereitgestellt wird. Wenn ein Anmeldeknoten gestoppt werden muss, werden angemeldete Benutzer im Voraus über die aktive Shell-Sitzung, die sie verwenden, benachrichtigt.
Anmeldeknoten werden als Pools angegeben, wobei ein Pool eine Gruppe von Anmeldeknoten definiert, die dieselbe Ressourcenkonfiguration haben. Alle Anmeldeknoten in einem Pool sind so konfiguriert, dass sie Teil eines [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) sind, der die Verteilung von Sitzungen auf die Anmeldeknoten nach dem Round-Robin-Verfahren ermöglicht. Die aktuelle Implementierung ermöglicht es Benutzern, mehrere Anmeldeknotenpools anzugeben.
# Sicherheit für Anmeldeknoten
Anmeldeknoten erben die `AllowedIPs` Einstellungen [`AllowedIps`](HeadNode-v3.md#yaml-HeadNode-Ssh-AllowedIps)vom Hauptknoten, sofern dies nicht für den [Anmeldeknotenpool](LoginNodes-v3.md#LoginNodes-v3-Pools) angegeben AllowedIps ist. Auf diese Weise können Clusteradministratoren den Sicherheitsstatus des Clusters einschränken, indem sie das Quell-CIDR oder eine Präfixliste angeben, von der aus SSH-Verbindungen entweder auf dem Hauptknoten oder einem Pool von Anmeldeknoten zulässig sind.
In der aktuellen Implementierung wird der Zugriff auf den Hauptknoten nicht automatisch eingeschränkt, wenn Anmeldeknoten aktiviert werden. Bei Bedarf kann ein Clusteradministrator diesen Zugriff einschränken und die SSH-Konfiguration der Hauptknoten mithilfe von Linux-Standardbefehlen aktualisieren. Dies kann auch erreicht werden, indem benutzerdefinierte Sicherheitsgruppen auf dem Hauptknoten angegeben werden, indem die `AdditionalSecurityGroups` Einstellung im Kopfknotenabschnitt der ParallelCluster YAML-Datei verwendet wird, um Verbindungen von nicht autorisierten Benutzern zu verweigern.
# Netzwerke für Login-Knoten
Anmeldeknoten erhalten eine einzige Verbindungsadresse für den Network Load Balancer, der für den Pool von Anmeldeknoten konfiguriert ist. Die Konnektivitätseinstellungen der Adresse basieren auf dem Subnetztyp, der in der Pool-Konfiguration für Anmeldeknoten angegeben ist.
+ Wenn das Subnetz privat ist, ist die Adresse privat. Um Zugriff auf die Anmeldeknoten zu gewähren, muss der Clusteradministrator einen Bastion-Host bereitstellen.
+ Wenn das Subnetz öffentlich ist, ist die Adresse öffentlich
Alle Verbindungsanfragen werden vom Network Load Balancer mithilfe von Round-Robin-Routing verwaltet.
# Speicher für Anmeldeknoten
Der gesamte gemeinsam genutzte Speicher, der auf dem Cluster mithilfe ParallelCluster von verwaltetem Speicher konfiguriert wurde, wird auf allen Anmeldeknoten bereitgestellt.
**Rufen Sie Informationen zu den Anmeldeknoten ab**
Um die Adresse der einzelnen Verbindung abzurufen, die für den Zugriff auf die Anmeldeknoten bereitgestellt wurde, kann der Clusteradministrator den [`describe-cluster`](pcluster.describe-cluster-v3.md)Befehl ausführen. Der Befehl bietet auch weitere Informationen zum Status der Anmeldeknoten.
Anmeldeknoten sind ein neuer Knotentyp ParallelCluster , der von unterstützt wird und mit dem [`describe-cluster-instances`](pcluster.describe-cluster-instances-v3.md)Befehl angegeben werden kann, wenn der Status eines bestimmten Knotentyps abgefragt wird.
Die Verfügbarkeit einer einzigen Verbindungsadresse für den Pool der Anmeldeknoten verhindert nicht den direkten Zugriff auf einen bestimmten Anmeldeknoten. Es wird jedoch nicht empfohlen, die direkte Verbindung zu verwenden, um Warnungen vom SSH-Client zu vermeiden. Der SSH-Client speichert Host-Identifikatoren lokal für jede Zieladresse. Da die Host-ID für jeden Pool spezifisch ist, kann die Verwendung einer anderen IPs und/oder einer einzigen Verbindungsadresse dazu führen, dass dieselbe Host-ID unterschiedlichen Zieladressen zugeordnet ist. Dies kann zu einer Warnung durch den SSH-Client führen, da dieselbe Host-ID mehreren Zielen zugeordnet ist.
# IMDS-Eigenschaften für Anmeldeknoten
Der Zugriff auf das IMDS des Anmeldeknotens (und die Anmeldeinformationen für das Instance-Profil) ist auf Root-Benutzer, Cluster-Administratorbenutzer (`pc-cluster-admin`standardmäßig) und betriebssystemspezifische Standardbenutzer (`ec2-user`unter Amazon Linux 2 und RedHat `ubuntu` Ubuntu 18.04) beschränkt.
Um den IMDS-Zugriff einzuschränken, AWS ParallelCluster verwaltet eine Kette von. `iptables`
**Anmerkung**
Jede Anpassung von `iptables` oder `ip6tables` Regeln kann den Mechanismus beeinträchtigen, der zur Beschränkung des IMDS-Zugriffs auf den Anmeldeknoten verwendet wird. Siehe auch. [`Imds property setting`](HeadNode-v3.md#HeadNode-v3-Imds)
# Lebenszyklus von Anmeldeknoten
Derzeit gibt es keinen speziellen Befehl zum Stoppen und Starten der Login-Knoten in einem Pool. Um die Anmeldeknoten in einem Pool zu stoppen, muss der Clusteradministrator die Clusterkonfiguration aktualisieren und bei der Anzahl der Anmeldeknoten (`Count: 0`) Null angeben und dann einen [`pcluster.update-cluster-v3`](pcluster.update-cluster-v3.md)Befehl ausführen.
**Anmerkung**
Angemeldete Benutzer werden über die Kündigung der jeweiligen Instanz und über die damit verbundene Nachfrist informiert. [Während der Gracetime-Zeit sind keine neuen Verbindungen erlaubt, mit Ausnahme der Verbindungen des Standardbenutzers des Clusters.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/managing-users.html) Die angezeigte Meldung kann vom Clusteradministrator vom Hauptknoten oder von einem Anmeldeknoten aus angepasst werden, der die Datei bearbeitet. `/opt/parallelcluster/shared_login_nodes/loginmgtd_config.json` Diese Kündigungsnachricht ist nicht sichtbar, wenn Sie mit dem [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)Session Manager verbunden sind.
Um den Pool der Anmeldeknoten zu starten, muss der Clusteradministrator den vorherigen `Count` Wert in der Clusterkonfiguration wiederherstellen und dann einen [`update-cluster`](pcluster.update-cluster-v3.md)Befehl ausführen.
# Zum Ausführen des Anmeldeknotenpools sind Berechtigungen erforderlich
Um den Pool der Anmeldeknoten verwalten zu können, muss der Clusteradministrator über die folgenden zusätzlichen Rechte verfügen:
```
- Action:
- iam:CreateServiceLinkedRole
- autoscaling:DeleteAutoScalingGroup
- autoscaling:DeleteLifecycleHook
- autoscaling:Describe*
- autoscaling:PutLifecycleHook
- autoscaling:UpdateAutoScalingGroup
- elasticloadbalancing:CreateListener
- elasticloadbalancing:CreateTargetGroup
- elasticloadbalancing:DeleteListener
- elasticloadbalancing:DeleteLoadBalancer
- elasticloadbalancing:DeleteTargetGroup
- elasticloadbalancing:Describe*
- elasticloadbalancing:ModifyLoadBalancerAttributes
Resource: '*'
Condition:
ForAllValues:StringEquals:
aws:TagKeys: [ "parallelcluster:cluster-name" ]
- Action:
- autoscaling:CreateAutoScalingGroup
- autoscaling:DeleteTags
- autoscaling:CreateOrUpdateTags
- elasticloadbalancing:AddTags
- elasticloadbalancing:CreateLoadBalancer
- elasticloadbalancing:RemoveTags
- elasticloadbalancing:ModifyTargetGroup
Resource: '*'
Effect: Allow
```