As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar um cluster
<a name="tutorials_05_multi-user-ad-step3"></a>

Se você ainda não saiu da instância do Amazon EC2, faça isso agora.

O ambiente está configurado para criar um cluster que possa autenticar usuários no Active Directory (AD).

Crie uma configuração de cluster simples e forneça as configurações relevantes para se conectar ao AD. Para obter mais informações, consulte a seção [`DirectoryService`](DirectoryService-v3.md).

Escolha uma das seguintes configurações de cluster e copie-a em um arquivo chamado `ldaps_config.yaml`, `ldaps_nocert_config.yaml`, ou `ldap_config.yaml`.

Recomendamos que você escolha a configuração LDAPS com verificação de certificado. Se você escolher essa configuração, também deverá copiar o script de bootstrap em um arquivo chamado `active-directory.head.post.sh`. E você deve armazená-lo em um bucket do Amazon S3, conforme indicado no arquivo de configuração.

## LDAPS com configuração de verificação de certificado (recomendado)
<a name="tutorials_05_multi-user-ad-step3-ldaps"></a>

**nota**  
`KeyName`: um dos seus pares de chaves do Amazon EC2.
`SubnetId / SubnetIds`: uma das sub-redes IDs fornecidas na saída da pilha de criação CloudFormation rápida (tutorial automatizado) ou do script python (tutorial manual).
`Region`: A região em que você criou a infraestrutura do AD.
`DomainAddr`: Esse endereço IP é um dos endereços DNS do seu serviço AD.
`PasswordSecretArn`: O nome de recurso da Amazon (ARN) do segredo que contém a senha para o `DomainReadOnlyUser`.
`BucketName`: o nome do bucket que contém o script de bootstrap.
`AdditionalPolicies`/`Policy`: O Amazon Resource Name (ARN) da política de certificação de domínio lido. ReadCertExample
`CustomActions` / `OnNodeConfigured` / `Args`: O nome de recurso da Amazon (ARN) do segredo que contém a política de certificação de domínio.
Para uma melhor postura de segurança, sugerimos usar a configuração `HeadNode`/`Ssh`/`AllowedIps` para limitar o acesso SSH ao nó principal.  
Observe que o certificado especificado em `LdapTlsCaCert` deve estar acessível a todos os nós do cluster.

**Requisitos rígidos**  
O certificado especificado em `LdapTlsCaCert` deve estar acessível a todos os nós do cluster.  
Um nó sem acesso ao certificado não conseguirá resolver usuários do diretório.

```
Region: region-id
Image:
  Os: alinux2
HeadNode: 
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-abcdef01234567890
  Ssh:
    KeyName: keypair
  Iam:
    AdditionalIamPolicies:
      - Policy: arn:aws:iam::123456789012:policy/ReadCertExample
    S3Access:
      - BucketName: amzn-s3-demo-bucket
        EnableWriteAccess: false
        KeyName: bootstrap/active-directory/active-directory.head.post.sh
  CustomActions:
    OnNodeConfigured:
      Script: s3://amzn-s3-demo-bucket/bootstrap/active-directory/active-directory.head.post.sh
      Args:
        - arn:aws:secretsmanager:region-id:123456789012:secret:example-cert-123abc
        - /opt/parallelcluster/shared/directory_service/domain-certificate.crt
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue0
      ComputeResources:
        - Name: queue0-t2-micro
          InstanceType: t2.micro
          MinCount: 1
          MaxCount: 10         
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
DirectoryService:
  DomainName: corp.example.com
  DomainAddr: ldaps://corp.example.com
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
  DomainReadOnlyUser: cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  LdapTlsCaCert: /opt/parallelcluster/shared/directory_service/domain-certificate.crt
  LdapTlsReqCert: hard
```

**Script de bootstrap**

Depois de criar o arquivo bootstrap e antes de carregá-lo no bucket do S3, execute `chmod +x active-directory.head.post.sh` para dar permissão de AWS ParallelCluster execução.

```
#!/bin/bash
set -e

CERTIFICATE_SECRET_ARN="$1"
CERTIFICATE_PATH="$2"

[[ -z $CERTIFICATE_SECRET_ARN ]] && echo "[ERROR] Missing CERTIFICATE_SECRET_ARN" && exit 1
[[ -z $CERTIFICATE_PATH ]] && echo "[ERROR] Missing CERTIFICATE_PATH" && exit 1

source /etc/parallelcluster/cfnconfig
REGION="${cfn_region:?}"

mkdir -p $(dirname $CERTIFICATE_PATH)
aws secretsmanager get-secret-value --region $REGION --secret-id $CERTIFICATE_SECRET_ARN --query SecretString --output text > $CERTIFICATE_PATH
```

## LDAPS sem configuração de verificação de certificado
<a name="tutorials_05_multi-user-ad-step3-ldaps-no-cert"></a>

**nota**  
`KeyName`: um dos seus pares de chaves do Amazon EC2.
`SubnetId / SubnetIds`: uma das sub-redes IDs que está na saída da pilha de criação CloudFormation rápida (tutorial automatizado) ou do script python (tutorial manual).
`Region`: A região em que você criou a infraestrutura do AD.
`DomainAddr`: Esse endereço IP é um dos endereços DNS do seu serviço AD.
`PasswordSecretArn`: O nome de recurso da Amazon (ARN) do segredo que contém a senha para o `DomainReadOnlyUser`.
Para uma melhor postura de segurança, sugerimos usar a AllowedIps configuração HeadNode /Ssh/ para limitar o acesso SSH ao nó principal.

```
Region: region-id
Image:
  Os: alinux2
HeadNode: 
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-abcdef01234567890
  Ssh:
    KeyName: keypair
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue0
      ComputeResources:
        - Name: queue0-t2-micro
          InstanceType: t2.micro
          MinCount: 1
          MaxCount: 10         
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
DirectoryService:
  DomainName: corp.example.com
  DomainAddr: ldaps://corp.example.com
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
  DomainReadOnlyUser: cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  LdapTlsReqCert: never
```

## Configuração LDAP
<a name="tutorials_05_multi-user-ad-step3-ldap"></a>

**nota**  
`KeyName`: um dos seus pares de chaves do Amazon EC2.
`SubnetId / SubnetIds`: uma das sub-redes IDs fornecidas na saída da pilha de criação CloudFormation rápida (tutorial automatizado) ou do script python (tutorial manual).
`Region`: A região em que você criou a infraestrutura do AD.
`DomainAddr`: Esse endereço IP é um dos endereços DNS do seu serviço AD.
`PasswordSecretArn`: O nome de recurso da Amazon (ARN) do segredo que contém a senha para o `DomainReadOnlyUser`.
Para uma melhor postura de segurança, sugerimos usar a AllowedIps configuração HeadNode /Ssh/ para limitar o acesso SSH ao nó principal.

```
Region: region-id
Image:
  Os: alinux2
HeadNode: 
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-abcdef01234567890
  Ssh:
    KeyName: keypair
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue0
      ComputeResources:
        - Name: queue0-t2-micro
          InstanceType: t2.micro
          MinCount: 1
          MaxCount: 10         
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://192.0.2.254,ldap://203.0.113.237
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
  DomainReadOnlyUser: cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True
```

Crie o cluster usando o comando a seguir.

```
$ pcluster create-cluster --cluster-name "ad-cluster" --cluster-configuration "./ldaps_config.yaml"
{
  "cluster": {
    "clusterName": "pcluster",
    "cloudformationStackStatus": "CREATE_IN_PROGRESS",
    "cloudformationStackArn": "arn:aws:cloudformation:region-id:123456789012:stack/ad-cluster/1234567-abcd-0123-def0-abcdef0123456",
    "region": "region-id",
    "version": 3.15.0,
    "clusterStatus": "CREATE_IN_PROGRESS"
  }
}
```