기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AD 도메인을 사용하여 클러스터를 생성합니다. **주의** 이 소개 섹션에서는 LDAP(Lightweight Directory Access Protocol)를 통해 AWS ParallelCluster 관리형 Active Directory(AD) 서버를 설정하는 방법을 설명합니다. LDAP는 안전하지 않은 프로토콜입니다. 프로덕션 시스템의 경우 다음 [LDAP(S) 클러스터 구성 AWS Managed Microsoft AD 의 예](examples-addir-v3.md) 섹션에 설명된 대로 TLS 인증서(LDAPS)를 사용하는 것이 좋습니다. 클러스터 구성 파일의 `DirectoryService` 섹션에 관련 정보를 지정하여 디렉토리와 통합되도록 클러스터를 구성하세요. 자세한 내용은 [`DirectoryService`](DirectoryService-v3.md) 구성 섹션을 참조하세요. 다음 예제를 사용하여 LDAP(Lightweight Directory Access Protocol)를 AWS Managed Microsoft AD 통해 클러스터를와 통합할 수 있습니다. **LDAP AWS Managed Microsoft AD 를 통한 구성에 필요한 특정 정의:** + `ldap_auth_disable_tls_never_use_in_production` 파라미터를 [`DirectoryService`](DirectoryService-v3.md)/[`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs) 아래의 `True`로 설정해야 합니다. + [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)에 컨트롤러 호스트 이름 또는 IP 주소를 지정할 수 있습니다. + [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) 구문은 다음과 같아야 합니다. ``` cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com ``` ** AWS Managed Microsoft AD 구성 데이터를 가져옵니다.** ``` $ aws ds describe-directories --directory-id "d-abcdef01234567890" ``` ``` { "DirectoryDescriptions": [ { "DirectoryId": "d-abcdef01234567890", "Name": "corp.example.com", "DnsIpAddrs": [ "203.0.113.225", "192.0.2.254" ], "VpcSettings": { "VpcId": "vpc-021345abcdef6789", "SubnetIds": [ "subnet-1234567890abcdef0", "subnet-abcdef01234567890" ], "AvailabilityZones": [ "region-idb", "region-idd" ] } } ] } ``` AWS Managed Microsoft AD에 대한 클러스터 구성:**** ``` Region: region-id Image: Os: alinux2 HeadNode: InstanceType: t2.micro Networking: SubnetId: subnet-1234567890abcdef0 Ssh: KeyName: pcluster Scheduling: Scheduler: slurm SlurmQueues: - Name: queue1 ComputeResources: - Name: t2micro InstanceType: t2.micro MinCount: 1 MaxCount: 10 Networking: SubnetIds: - subnet-abcdef01234567890 DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` Simple AD에 이 구성을 사용하려면 `DirectoryService` 섹션에서 `DomainReadOnlyUser` 속성 값을 변경하세요.**** ``` DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **고려 사항:** + LDAP만 사용하는 대신 TLS/SSL(또는 LDAPS)을 통한 LDAP를 사용하는 것이 좋습니다. TLS/SSL은 연결이 암호화되도록 합니다. + [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) 속성 값은 `describe-directories` 출력의 `DnsIpAddrs` 목록에 있는 항목과 일치합니다. + 클러스터는 [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)이 가리키는 동일한 가용 영역에 있는 서브넷을 사용하는 것이 좋습니다. 디렉터리 VPC에 권장되는 [사용자 지정 Dynamic Host Configuration Protocol(DHCP) 구성](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html)을 사용하고 서브넷이 [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)가용 영역에 있지 않은** 가용 영역 간 교차 트래픽이 발생할 수 있습니다. 다중 사용자 AD 통합 기능을 사용하기 위해 사용자 지정 DHCP 구성을 사용할 필요는 없습니다**. + [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) 속성 값은 디렉터리에 만들어야 하는 사용자를 지정합니다. 이 사용자는 기본적으로 생성되지 않습니다**. 이 사용자에게 디렉터리 데이터를 수정할 수 있는 권한을 부여하지 않는** 것이 좋습니다. + / [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn) 속성 값은 [`DirectoryService`](DirectoryService-v3.md) [`DirectoryService`](DirectoryService-v3.md)/ [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) 속성에 대해 지정한 사용자의 암호가 포함된 AWS Secrets Manager 보안 암호를 가리킵니다. 이 사용자의 암호가 변경되면 보안 암호 값을 업데이트하고 클러스터를 업데이트하세요. 새 보안 암호 값에 맞게 클러스터를 업데이트하려면 `pcluster update-compute-fleet` 명령을 사용하여 컴퓨팅 플릿을 중지해야 합니다. 클러스터가 [`LoginNodes`](LoginNodes-v3.md)를 사용하도록 구성한 경우 [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)를 [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)/[`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count)를 0으로 설정한 후 클러스터를 업데이트하세요. 그리고 나서 클러스터 헤드 노드 내에서 다음 명령을 실행합니다. ``` sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh ``` 다른 예제는 [Active Directory 통합](tutorials_05_multi-user-ad.md)를 참조하세요.