Định cấu hình máy ảo đám mây để nhiều người dùng truy cập

Tôi là một giáo sư CS đại học. Tôi muốn có một máy chủ từ xa mà tất cả học sinh của tôi có thể kết nối. Điều này cực kỳ dễ thực hiện khi tôi sở hữu phần cứng. Chỉ cần tạo tài khoản người dùng trên máy chủ của tôi với các quyền mà tôi muốn họ có (quyền truy cập đọc/ghi vào tệp trong một thư mục, kết nối cơ sở dữ liệu), cung cấp cho sinh viên thông tin đăng nhập. Dễ dàng. Quá dễ.

Điều này dường như không thể thực hiện được trên bất kỳ nền tảng đám mây lớn nào. Tôi đã thử GCP, AWS và Azure. Tôi đã đọc rất nhiều tài liệu và tôi không thể tìm thấy bất cứ điều gì từ xa gần với trường hợp sử dụng của mình. Tất cả các tính năng "dành cho giáo dục" về cơ bản buộc bạn phải có một máy cho mỗi học sinh, không phải một máy mà tất cả học sinh đều có thể truy cập. Tôi đã cố gắng chỉ sử dụng các máy ảo thông thường trên đám mây (không phải "dành cho giáo dục") và điều đó dường như cũng không thể định cấu hình theo cách tôi muốn. Tôi chỉ muốn thêm tài khoản người dùng vào VM và cho phép sinh viên đăng nhập vào chúng. Nhưng để thực sự cấp quyền truy cập đăng nhập vào VM, có vẻ như sinh viên cần phải có tài khoản trên dịch vụ đám mây đó và tôi phải cấp quyền truy cập quản trị tài khoản của họ vào VM mà tôi đã tạo, điều mà tôi không muốn làm. Tôi đang thiếu gì?

Máy ảo đám mây về nhiều mặt giống như máy chủ tại chỗ. Máy chủ Linux là máy chủ Linux, Windows là Windows. Chỉ cần đăng nhập vào máy chủ của bạn và định cấu hình theo cách bạn thực hiện với bất kỳ máy chủ nào khác. Tôi đã làm điều đó với máy chủ Ubuntu Linux của mình trên AWS.

Nếu bạn cần thêm trợ giúp, hãy đề xuất bạn viết một câu hỏi chính xác, chi tiết hơn, cho biết những gì bạn đã thử và những gì không hiệu quả, thì chúng tôi có thể trợ giúp từng vấn đề riêng lẻ.

Giả sử SSH, các giao thức khác sẽ khác. Người dùng cung cấp cho bạn khóa công khai SSH. (Bạn không cần xem khóa riêng tư của họ.) Định cấu hình khóa này làm thông tin xác thực cho người dùng cá nhân, không được bảo mật (không phải root, không phải sudo).

Cách triển khai điều này rất khác nhau tùy thuộc vào hệ thống nhận dạng người dùng có sẵn cho tổ chức của bạn. Dịch vụ này có thể không phải là dịch vụ của nhà cung cấp đám mây của bạn, nhưng bạn có thể xác thực đối với bất kỳ thứ gì bạn muốn.

Một giải pháp thủ công có thể là bạn tạo người dùng cục bộ trên máy chủ và tải lên ~/.ssh/ủy quyền_keys. Tẻ nhạt để duy trì, người dùng không có tùy chọn tự phục vụ.

Google Đám mây có đăng nhập hệ điều hành nơi bạn có thể cấp cho bất kỳ tài khoản Google nào (cá nhân hoặc được quản lý) quyền truy cập vào các phiên bản bằng khóa ssh cá nhân của họ. Người dùng được cấp vai trò/compute.osĐăng nhập vai trò không được tư nhân hóa, vì vậy họ sẽ không có sudo. Có lẽ chỉ có ý nghĩa nếu tổ chức của bạn đã cấp tài khoản Google, miền Workspace hoặc Cloud Identity.

Hoặc bạn có thể có một hệ thống nhận dạng không phải từ nhà cung cấp dịch vụ đám mây của mình. FreeIPA chẳng hạn có thể lưu trữ các khóa ssh và tích hợp các khóa đó với ssh auth trên máy chủ. Một lần nữa đòi hỏi một chút công việc để triển khai một hệ thống nhận dạng nếu nó chưa tồn tại.