专属资源池最佳实践-权限配置
本文档是ModelArts专属池使用的一个子场景说明,主要介绍IAM和各依赖服务的权限配置。
子账号及权限设置:
IAM部分:
创建子账号,创建对应用户组,用户组权限设置如截图:
注意:ECS, VPC, SFS的策略部分有重合,需要特别注意是否存在冲突
增量配置(需配置到子项目):
如需使用Notebook挂载SFS存储,需增加SFS的“sfsturbo:*:dataAction”细粒度权限。
由于"sfsturbo:*:dataAction"当前在IAM权限已无法直接配置,所以需要先允许所有SFS Turbo权限、再禁用所有写权限。
配置内容json如:
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"SFSTurbo:*:*"
]
},
{
"Effect": "Deny",
"Action": [
"sfsturbo:shares:deleteShare",
"sfsturbo:shares:createShare",
"sfsturbo:shares:shareAction",
"sfsturbo:shares:checkShareName"
]
}
]
}
OBS部分:
创建一个给对应子账号专用的桶,仅给对应子账号配置权限(“目录读写”模板)
红框是日志下载所需的权限,如果不需要该功能,可以去掉
SWR部分:
如果无法配置“SWR FullAccess”,至少要配置OperateAccess,并单独创建一个SWR组织,且要给对应子账号添加管理权限。
ModelArts部分:
如果组织经常会有人员变动,建议设置给所有用户。这样可以避免配置的麻烦,但是权限配置的会比较大。
如果仅给部分用户使用,可以单独设置给这些用户。
资源准备及验证:
主账号准备好资源:
0.VPC配置,创建一个可以支持打通的VPC。可以支持10网段或者192.168网段(需要将192.168.20.0/24子网留空)。
1.ECS创建,VPC选对,EIP挂好(1M出带宽能够对应10M入带宽,如需更大入带宽需提工单)
2.SFS创建好(和ECS在相同VPC)
3.ECS必备软件安装:
设置华为云镜像源
sudo sed -i "s@http://.*archive.ubuntu.com@http://repo.huaweicloud.cn@g" /etc/apt/sources.list
sudo sed -i "s@http://.*security.ubuntu.com@http://repo.huaweicloud.cn@g" /etc/apt/sources.list
安装NFS客户端,挂载对应盘
sudo apt-get update
sudo apt-get install -y nfs-common
mkdir -p /mnt/sfs_turbo
#下条命令在SFS盘的详情页获取
mount -t nfs -o vers=3,nolock 192.168.0.169:/ /mnt/sfs_turbo
安装docker
curl https://get.docker.com | sh && sudo systemctl --now enable docker
4.ModelArts创建专属资源池。
完成后打通和SFS的网络,打通流程如截图:
如需使用开发环境,请进行开发环境初始化,操作如截图:
搞定以后,在子账号验证:
1.EIP,VPC安全组的操作均无创建、删除、修改权限。ECS实例的开关机、修改EIP、修改安全组规则等均无权限。
2.ECS能够正常登陆(堡垒机场景请走堡垒机的通路),ECS能够mount对应硬盘。
3.ModelArts训练任务有权限创建,开发环境有权限创建。
4.ModelArts开发环境可以正常使用专属池资源,可以正常配置ssh登陆。
可以正常挂载SFS共享盘(如已打通VPC且完成特殊权限配置),挂载后“/home/ma-user/work”目录的内容和ECS挂载目录的内容一致。
注意,Notebook必须使用ma-user用户,需要确认文件夹的权限设置合理。
5.ModelArts训练任务可以正常使用专属资源池,可以正常读写SFS共享盘。
使用自定义镜像创建训练任务。启动命令设置为:“touch /sfs/test.log && ls -l /sfs && sleep 30”,挂载路径设置为:“/sfs”。注意验证对应目录的内容和ECS挂载目录的内容一致。
- 点赞
- 收藏
- 关注作者
评论(0)