As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Nós de login provisionados por AWS ParallelCluster
A partir da versão 3.7.0, os administradores de AWS ParallelCluster cluster podem provisionar nós de login que podem ser usados para fornecer acesso aos usuários para executar trabalhos em vez de acessar diretamente o nó principal do cluster. Os usuários do cluster com as permissões apropriadas podem usar o Active Directory ou sua credencial ssh para fazer login, enviar e gerenciar seus trabalhos. Como resultado, o gerenciamento do cluster pode ser aprimorado e as chances de esgotar os recursos do nó principal exigidos pelo Slurm para gerenciar o cluster podem ser minimizados. Os usuários conectados também terão acesso a todo o armazenamento compartilhado do cluster montado nos nós de login. Se um nó de login precisar ser interrompido, os usuários conectados serão notificados com antecedência por meio da sessão ativa do shell que estão usando.
Os nós de login são especificados como pools em que um pool define um grupo de nós de login que têm a mesma configuração de recursos. Todos os nós de login em um pool são configurados para fazer parte de um [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) que permite a distribuição de sessões entre os nós de login em procedimento round-robin. A implementação atual permite que os usuários especifiquem vários grupos de nós de login.
# Segurança para nós de login
Os nós de login herdam as `AllowedIPs` configurações [`AllowedIps`](HeadNode-v3.md#yaml-HeadNode-Ssh-AllowedIps)do nó principal, a menos que sejam AllowedIps especificados para o [pool de nós de login](LoginNodes-v3.md#LoginNodes-v3-Pools). Dessa forma, os administradores do cluster podem restringir a postura de segurança do cluster especificando o CIDR de origem ou uma lista de prefixos de onde as conexões SSH são permitidas no nó principal ou em um pool de nós de login.
Na implementação atual, o acesso ao nó principal não é automaticamente restrito ao ativar os nós de login. Se necessário, um administrador de cluster pode restringir esse acesso atualizando a configuração ssh dos nós principais usando comandos Linux padrão. Isso também pode ser feito especificando grupos de segurança personalizados no nó principal usando a `AdditionalSecurityGroups` configuração na seção do nó principal do arquivo ParallelCluster YAML para negar conexões de usuários não autorizados.
# Rede para nós de login
Os nós de login são provisionados com um único endereço de conexão para o Network Load Balancer configurado para o pool de nós de login. As configurações de conectividade do endereço são baseadas no tipo de sub-rede especificado na configuração do Pool de nós de login.
+ Se a sub-rede for privada, o endereço será privado e, para conceder acesso aos nós de login, o administrador do cluster deverá provisionar um bastion host.
+ Se a sub-rede for pública, o endereço será público
Todas as solicitações de conexão são gerenciadas pelo Network Load Balancer usando roteamento round-robin.
# Armazenamento para nós de login
Todo o armazenamento compartilhado configurado no cluster usando ParallelCluster o armazenamento gerenciado será montado em todos os nós de login.
**Recuperar informações dos nós de login**
Para recuperar o endereço da única conexão provisionada para acessar os nós de login, o administrador do cluster pode executar o comando [`describe-cluster`](pcluster.describe-cluster-v3.md). O comando também fornecerá mais informações sobre o status dos nós de login.
Os nós de login são um novo tipo de nó suportado pelo ParallelCluster que pode ser especificado com o [`describe-cluster-instances`](pcluster.describe-cluster-instances-v3.md)comando ao consultar o status de um tipo de nó específico.
A disponibilidade de um único endereço de conexão para o pool de nós de login não impede o acesso direto a um nó de login específico. No entanto, não é recomendável usar a conexão direta para evitar avisos do cliente ssh. O cliente ssh armazena identificadores de host localmente para cada endereço de destino. Como o identificador do host é específico por pool, o uso de um endereço de conexão diferente IPs e/ou único pode ter o mesmo identificador de host associado a endereços de destino diferentes: isso pode causar um aviso do cliente ssh, pois o mesmo identificador de host está associado a vários destinos.
# Propriedades Imds para nós de login
O acesso ao IMDS do nó de login (e às credenciais do perfil da instância) é restrito ao usuário raiz, ao usuário administrativo do cluster (`pc-cluster-admin`por padrão) e ao usuário padrão específico do sistema operacional (no `ec2-user` Amazon Linux 2 e RedHat `ubuntu` no Ubuntu 18.04).
Para restringir o acesso ao IMDS, AWS ParallelCluster gerencia uma cadeia de`iptables`.
**nota**
Qualquer personalização de regras `iptables` ou `ip6tables` pode interferir no mecanismo usado para restringir o acesso ao IMDS no nó de login. Consulte também [`Imds property setting`](HeadNode-v3.md#HeadNode-v3-Imds).
# Ciclo de vida dos nós de login
Atualmente, não há nenhum comando dedicado para parar e iniciar os nós de login em um pool. Para interromper os nós de login em um pool, o administrador do cluster precisa atualizar a configuração do cluster especificando zero na contagem de nós de login (`Count: 0`) e, em seguida, executar um comando [`pcluster.update-cluster-v3`](pcluster.update-cluster-v3.md).
**nota**
Os usuários conectados são notificados sobre o encerramento da instância específica e sobre o período de carência relacionado. Durante o período de carência, nenhuma nova conexão será permitida, exceto as do [usuário padrão do cluster](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/managing-users.html). A mensagem mostrada é personalizável pelo administrador do cluster a partir do nó principal ou de um nó de login que edita o arquivo `/opt/parallelcluster/shared_login_nodes/loginmgtd_config.json`. Essa mensagem de encerramento não é visível quando você está conectado usando o Gerenciador de [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)Sessões.
Para iniciar o pool de nós de login, o administrador do cluster precisa restaurar o valor `Count` anterior na configuração do cluster e, em seguida, executar um comando [`update-cluster`](pcluster.update-cluster-v3.md).
# Permissões necessárias para executar o pool de nós de login
Para gerenciar o pool de nós de login, o administrador do cluster deve ter as seguintes permissões adicionais:
```
- Action:
- iam:CreateServiceLinkedRole
- autoscaling:DeleteAutoScalingGroup
- autoscaling:DeleteLifecycleHook
- autoscaling:Describe*
- autoscaling:PutLifecycleHook
- autoscaling:UpdateAutoScalingGroup
- elasticloadbalancing:CreateListener
- elasticloadbalancing:CreateTargetGroup
- elasticloadbalancing:DeleteListener
- elasticloadbalancing:DeleteLoadBalancer
- elasticloadbalancing:DeleteTargetGroup
- elasticloadbalancing:Describe*
- elasticloadbalancing:ModifyLoadBalancerAttributes
Resource: '*'
Condition:
ForAllValues:StringEquals:
aws:TagKeys: [ "parallelcluster:cluster-name" ]
- Action:
- autoscaling:CreateAutoScalingGroup
- autoscaling:DeleteTags
- autoscaling:CreateOrUpdateTags
- elasticloadbalancing:AddTags
- elasticloadbalancing:CreateLoadBalancer
- elasticloadbalancing:RemoveTags
- elasticloadbalancing:ModifyTargetGroup
Resource: '*'
Effect: Allow
```