Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Den Cluster erstellen
Wenn Sie die Amazon EC2 EC2-Instance nicht verlassen haben, tun Sie dies jetzt.
Die Umgebung ist so eingerichtet, dass ein Cluster erstellt wird, der Benutzer anhand des Active Directory (AD) authentifizieren kann.
Erstellen Sie eine einfache Clusterkonfiguration und geben Sie die Einstellungen an, die für die Verbindung mit dem AD relevant sind. Weitere Informationen finden Sie im Abschnitt [`DirectoryService`](DirectoryService-v3.md).
Wählen Sie eine der folgenden Clusterkonfigurationen aus und kopieren Sie sie in eine Datei mit dem Namen`ldaps_config.yaml`,`ldaps_nocert_config.yaml`, oder`ldap_config.yaml`.
Wir empfehlen Ihnen, die LDAPS-Konfiguration mit Zertifikatüberprüfung zu wählen. Wenn Sie diese Konfiguration wählen, müssen Sie auch das Bootstrap-Skript in eine Datei mit dem Namen kopieren. `active-directory.head.post.sh` Und Sie müssen es in einem Amazon S3 S3-Bucket speichern, wie in der Konfigurationsdatei angegeben.
## LDAPS mit Konfiguration zur Zertifikatsverifizierung (empfohlen)
**Anmerkung**
`KeyName`: Eines Ihrer Amazon EC2 EC2-Schlüsselpaare.
`SubnetId / SubnetIds`: Eines der Subnetze, die in der Ausgabe des CloudFormation Quick Create Stacks (automatisiertes Tutorial) oder des Python-Skripts (manuelles Tutorial) IDs angegeben wurden.
`Region`: Die Region, in der Sie die AD-Infrastruktur erstellt haben.
`DomainAddr`: Diese IP-Adresse ist eine der DNS-Adressen Ihres AD-Dienstes.
`PasswordSecretArn`: Der Amazon-Ressourcenname (ARN) des Geheimnisses, das das Passwort für den enthält`DomainReadOnlyUser`.
`BucketName`: Der Name des Buckets, der das Bootstrap-Skript enthält.
`AdditionalPolicies`/`Policy`: Der Amazon-Ressourcenname (ARN) der gelesenen Domain-Zertifizierungsrichtlinie ReadCertExample.
`CustomActions`/`OnNodeConfigured`/`Args`: Der geheime Amazon-Ressourcenname (ARN), der die Domain-Zertifizierungsrichtlinie enthält.
Aus Sicherheitsgründen empfehlen wir, die `AllowedIps` Konfiguration`HeadNode`/`Ssh`/zu verwenden, um den SSH-Zugriff auf den Hauptknoten zu beschränken.
Beachten Sie, dass das in angegebene Zertifikat für alle Clusterknoten zugänglich sein `LdapTlsCaCert` muss.
**Harte Anforderungen**
Das in angegebene Zertifikat `LdapTlsCaCert` muss für alle Clusterknoten zugänglich sein.
Ein Knoten ohne Zugriff auf das Zertifikat kann Benutzer aus dem Verzeichnis nicht auflösen.
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-abcdef01234567890
Ssh:
KeyName: keypair
Iam:
AdditionalIamPolicies:
- Policy: arn:aws:iam::123456789012:policy/ReadCertExample
S3Access:
- BucketName: amzn-s3-demo-bucket
EnableWriteAccess: false
KeyName: bootstrap/active-directory/active-directory.head.post.sh
CustomActions:
OnNodeConfigured:
Script: s3://amzn-s3-demo-bucket/bootstrap/active-directory/active-directory.head.post.sh
Args:
- arn:aws:secretsmanager:region-id:123456789012:secret:example-cert-123abc
- /opt/parallelcluster/shared/directory_service/domain-certificate.crt
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue0
ComputeResources:
- Name: queue0-t2-micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
DirectoryService:
DomainName: corp.example.com
DomainAddr: ldaps://corp.example.com
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
DomainReadOnlyUser: cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
LdapTlsCaCert: /opt/parallelcluster/shared/directory_service/domain-certificate.crt
LdapTlsReqCert: hard
```
**Bootstrap-Skript**
Nachdem Sie die Bootstrap-Datei erstellt haben und bevor Sie sie in Ihren S3-Bucket hochladen, führen Sie den Befehl aus, `chmod +x active-directory.head.post.sh` um die Ausführungsberechtigung zu erteilen AWS ParallelCluster .
```
#!/bin/bash
set -e
CERTIFICATE_SECRET_ARN="$1"
CERTIFICATE_PATH="$2"
[[ -z $CERTIFICATE_SECRET_ARN ]] && echo "[ERROR] Missing CERTIFICATE_SECRET_ARN" && exit 1
[[ -z $CERTIFICATE_PATH ]] && echo "[ERROR] Missing CERTIFICATE_PATH" && exit 1
source /etc/parallelcluster/cfnconfig
REGION="${cfn_region:?}"
mkdir -p $(dirname $CERTIFICATE_PATH)
aws secretsmanager get-secret-value --region $REGION --secret-id $CERTIFICATE_SECRET_ARN --query SecretString --output text > $CERTIFICATE_PATH
```
## LDAPS ohne Konfiguration zur Zertifikatsverifizierung
**Anmerkung**
`KeyName`: Eines Ihrer Amazon EC2 EC2-Schlüsselpaare.
`SubnetId / SubnetIds`: Eines der Subnetze IDs , das in der Ausgabe des CloudFormation Quick Create Stacks (automatisiertes Tutorial) oder des Python-Skripts (manuelles Tutorial) enthalten ist.
`Region`: Die Region, in der Sie die AD-Infrastruktur erstellt haben.
`DomainAddr`: Diese IP-Adresse ist eine der DNS-Adressen Ihres AD-Dienstes.
`PasswordSecretArn`: Der Amazon-Ressourcenname (ARN) des Geheimnisses, das das Passwort für den enthält`DomainReadOnlyUser`.
Aus Sicherheitsgründen empfehlen wir, die AllowedIps Konfiguration HeadNode /Ssh/ zu verwenden, um den SSH-Zugriff auf den Hauptknoten zu beschränken.
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-abcdef01234567890
Ssh:
KeyName: keypair
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue0
ComputeResources:
- Name: queue0-t2-micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
DirectoryService:
DomainName: corp.example.com
DomainAddr: ldaps://corp.example.com
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
DomainReadOnlyUser: cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
LdapTlsReqCert: never
```
## LDAP-Konfiguration
**Anmerkung**
`KeyName`: Eines Ihrer Amazon EC2 EC2-Schlüsselpaare.
`SubnetId / SubnetIds`: Eines der Subnetze, die in der Ausgabe des CloudFormation Quick Create Stacks (automatisiertes Tutorial) oder des Python-Skripts (manuelles Tutorial) IDs angegeben wurden.
`Region`: Die Region, in der Sie die AD-Infrastruktur erstellt haben.
`DomainAddr`: Diese IP-Adresse ist eine der DNS-Adressen Ihres AD-Dienstes.
`PasswordSecretArn`: Der Amazon-Ressourcenname (ARN) des Geheimnisses, das das Passwort für den enthält`DomainReadOnlyUser`.
Aus Sicherheitsgründen empfehlen wir, die AllowedIps Konfiguration HeadNode /Ssh/ zu verwenden, um den SSH-Zugriff auf den Hauptknoten zu beschränken.
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-abcdef01234567890
Ssh:
KeyName: keypair
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue0
ComputeResources:
- Name: queue0-t2-micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
DirectoryService:
DomainName: dc=corp,dc=example,dc=com
DomainAddr: ldap://192.0.2.254,ldap://203.0.113.237
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
DomainReadOnlyUser: cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
AdditionalSssdConfigs:
ldap_auth_disable_tls_never_use_in_production: True
```
Erstellen Sie den Cluster mit dem folgenden Befehl.
```
$ pcluster create-cluster --cluster-name "ad-cluster" --cluster-configuration "./ldaps_config.yaml"
{
"cluster": {
"clusterName": "pcluster",
"cloudformationStackStatus": "CREATE_IN_PROGRESS",
"cloudformationStackArn": "arn:aws:cloudformation:region-id:123456789012:stack/ad-cluster/1234567-abcd-0123-def0-abcdef0123456",
"region": "region-id",
"version": 3.15.0,
"clusterStatus": "CREATE_IN_PROGRESS"
}
}
```