Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Membuat klaster dengan domain AD **Awas** Bagian pengantar ini menjelaskan cara mengatur AWS ParallelCluster dengan server Managed Active Directory (AD) melalui Lightweight Directory Access Protocol (LDAP). LDAP adalah protokol yang tidak aman. Untuk sistem produksi, kami sangat merekomendasikan penggunaan sertifikat TLS (LDAPS) seperti yang dijelaskan di [Contoh AWS Managed Microsoft AD konfigurasi klaster LDAP (S)](examples-addir-v3.md) bagian berikut. Konfigurasikan cluster Anda untuk diintegrasikan dengan direktori dengan menentukan informasi yang relevan di `DirectoryService` bagian file konfigurasi cluster. Untuk informasi selengkapnya, lihat bagian [`DirectoryService`](DirectoryService-v3.md)konfigurasi. Anda dapat menggunakan contoh berikut ini untuk mengintegrasikan cluster Anda dengan AWS Managed Microsoft AD over Lightweight Directory Access Protocol (LDAP). **Definisi spesifik yang diperlukan untuk konfigurasi AWS Managed Microsoft AD over LDAP:** + Anda harus mengatur `ldap_auth_disable_tls_never_use_in_production` parameter ke `True` bawah [`DirectoryService`](DirectoryService-v3.md)/[`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs). + Anda dapat menentukan nama host pengontrol atau alamat IP untuk [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr). + [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)sintaks harus sebagai berikut: ``` cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com ``` **Dapatkan data AWS Managed Microsoft AD konfigurasi Anda:** ``` $ aws ds describe-directories --directory-id "d-abcdef01234567890" ``` ``` { "DirectoryDescriptions": [ { "DirectoryId": "d-abcdef01234567890", "Name": "corp.example.com", "DnsIpAddrs": [ "203.0.113.225", "192.0.2.254" ], "VpcSettings": { "VpcId": "vpc-021345abcdef6789", "SubnetIds": [ "subnet-1234567890abcdef0", "subnet-abcdef01234567890" ], "AvailabilityZones": [ "region-idb", "region-idd" ] } } ] } ``` **Konfigurasi cluster untuk AWS Managed Microsoft AD:** ``` Region: region-id Image: Os: alinux2 HeadNode: InstanceType: t2.micro Networking: SubnetId: subnet-1234567890abcdef0 Ssh: KeyName: pcluster Scheduling: Scheduler: slurm SlurmQueues: - Name: queue1 ComputeResources: - Name: t2micro InstanceType: t2.micro MinCount: 1 MaxCount: 10 Networking: SubnetIds: - subnet-abcdef01234567890 DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Untuk menggunakan konfigurasi ini untuk Simple AD, ubah nilai `DomainReadOnlyUser` properti di `DirectoryService` bagian:** ``` DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Pertimbangan:** + Kami menyarankan Anda menggunakan LDAP over TLS/SSL (atau LDAP) daripada LDAP saja. TLS/SSL memastikan bahwa koneksi dienkripsi. + Nilai [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)properti [`DirectoryService`](DirectoryService-v3.md)/cocok dengan entri dalam `DnsIpAddrs` daftar dari `describe-directories` output. + Kami menyarankan agar klaster Anda menggunakan subnet yang terletak di Availability Zone yang sama dengan yang [`DirectoryService`[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)](DirectoryService-v3.md)ditunjuk/. Jika Anda menggunakan [konfigurasi Dynamic Host Configuration Protocol (DHCP) kustom](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html) yang direkomendasikan untuk direktori VPCs dan subnet Anda *tidak* terletak di [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)Availability Zone, lalu lintas lintas antar Availability Zones dimungkinkan. Penggunaan konfigurasi DHCP kustom *tidak* diperlukan untuk menggunakan fitur integrasi AD multi-pengguna. + Nilai [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)properti [`DirectoryService`](DirectoryService-v3.md)/menentukan pengguna yang harus dibuat dalam direktori. Pengguna ini *tidak* dibuat secara default. Kami menyarankan agar Anda *tidak* memberikan izin pengguna ini untuk memodifikasi data direktori. + Nilai [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn)properti [`DirectoryService`](DirectoryService-v3.md)/menunjuk ke AWS Secrets Manager rahasia yang berisi kata sandi pengguna yang Anda tentukan untuk [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)properti [`DirectoryService`](DirectoryService-v3.md)/. Jika kata sandi pengguna ini berubah, perbarui nilai rahasia dan perbarui klaster. Untuk memperbarui cluster untuk nilai rahasia baru, Anda harus menghentikan armada komputasi dengan `pcluster update-compute-fleet` perintah. Jika Anda mengonfigurasi cluster Anda untuk digunakan [`LoginNodes`](LoginNodes-v3.md), hentikan [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)dan perbarui cluster setelah menyetel [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)/[`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count)ke 0. Kemudian, jalankan perintah berikut dari dalam node kepala cluster. ``` sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh ``` Untuk contoh lain, lihat juga[Mengintegrasikan Active Directory](tutorials_05_multi-user-ad.md).