Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Courge rouge Lustre
Root squash est une fonctionnalité administrative qui ajoute une couche supplémentaire de contrôle d'accès aux fichiers en plus du contrôle d'accès réseau actuel et des autorisations de POSIX fichiers. À l'aide de la fonction root squash, vous pouvez restreindre l'accès au niveau root aux clients qui tentent d'accéder à votre système de fichiers FSx for Lustre en tant que root.
Les autorisations de l'utilisateur root sont requises pour effectuer des actions administratives, telles que la gestion des autorisations sur FSx les systèmes de fichiers Lustre. Cependant, l'accès root fournit un accès illimité aux utilisateurs, leur permettant de contourner les contrôles d'autorisation pour accéder, modifier ou supprimer des objets du système de fichiers. À l'aide de la fonctionnalité root squash, vous pouvez empêcher l'accès non autorisé ou la suppression de données en spécifiant un identifiant d'utilisateur (UID) et un identifiant de groupe (GID) autres que root pour votre système de fichiers. Les utilisateurs root accédant au système de fichiers seront automatiquement convertis en utilisateur/groupe moins privilégié spécifié avec des autorisations limitées définies par l'administrateur de stockage.
La fonctionnalité Root Squash vous permet également, en option, de fournir une liste de clients qui ne sont pas concernés par le paramètre Root squash. Ces clients peuvent accéder au système de fichiers en tant que root, avec des privilèges illimités.
Comment fonctionne le courge-racine
La fonctionnalité root squash fonctionne en remappant l'ID utilisateur (UID) et l'ID de groupe (GID) de l'utilisateur root à un UID et GID spécifié par l'administrateur système Lustre. La fonction root squash vous permet également de spécifier éventuellement un ensemble de clients pour lesquelsUID/GIDre-mapping ne s'applique pas.
Lorsque vous créez un nouveau système de fichiers FSx pour Lustre, root squash est désactivé par défaut. Vous activez Root Squash en configurant un paramètre UID et GID root squash pour votre système de fichiers FSx for Lustre. Les GID valeurs UID et sont des nombres entiers pouvant aller de 0 à 4294967294 :
Une valeur différente de zéro pour UID et GID active la courge racinaire. Les GID valeurs UID et peuvent être différentes, mais chacune doit être une valeur différente de zéro.
Une valeur de
0(zéro) pour UID et GID indique la racine, et désactive donc la courge racinaire.
Lors de la création du système de fichiers, vous pouvez utiliser la FSx console Amazon pour fournir le root squash UID et GID les valeurs de la propriété Root Squash, comme indiqué dansPour activer Root Squash lors de la création d'un système de fichiers (console). Vous pouvez également utiliser le RootSquash paramètre avec AWS CLI ou API pour fournir les GID valeurs UID et, comme indiqué dansPour activer Root Squash lors de la création d'un système de fichiers (CLI).
Facultativement, vous pouvez également spécifier une liste NIDs de clients auxquels Root squash ne s'applique pas. Un client NID est un identifiant de réseau Lustre utilisé pour identifier un client de manière unique. Vous pouvez les spécifier NID sous la forme d'une adresse unique ou d'une plage d'adresses :
Une adresse unique est décrite au NID format Lustre standard en spécifiant l'adresse IP du client suivie de l'ID réseau Lustre (par exemple,
10.0.1.6@tcp).Une plage d'adresses est décrite à l'aide d'un tiret pour séparer la plage (par exemple,
10.0.[2-10].[1-255]@tcp).Si vous ne spécifiez aucun clientNIDs, il n'y aura aucune exception pour Root Squash.
Lorsque vous créez ou mettez à jour votre système de fichiers, vous pouvez utiliser la propriété Exceptions to Root Squash dans la FSx console Amazon pour fournir la liste des clientsNIDs. Dans le AWS CLI ouAPI, utilisez le NoSquashNids paramètre. Pour plus d'informations, consultez les procédures décrites dansGérer les courges racines.
Gérer les courges racines
Lors de la création du système de fichiers, le squash root est désactivé par défaut. Vous pouvez activer Root Squash lors de la création d'un nouveau système de fichiers Amazon FSx for Lustre depuis la FSx console Amazon AWS CLI, ouAPI.
-
Ouvrez la FSx console Amazon à l'adresse https://console.aws.amazon.com/fsx/
. Suivez la procédure de création d'un nouveau système de fichiers décrite Étape 1 : Créez votre système de fichiers FSx for Lustre dans la section Démarrage.
Ouvrez la section Root Squash - facultative.
-
Pour Root Squash, indiquez l'utilisateur et le groupe IDs avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre
1—4294967294:Pour ID utilisateur, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
Pour ID de groupe, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
-
(Facultatif) Pour les exceptions à la courge racine, procédez comme suit :
Choisissez Ajouter une adresse client.
Dans le champ Adresses des clients, spécifiez l'adresse IP d'un client auquel Root Squash ne s'applique pas. Pour plus d'informations sur le format de l'adresse IP, voirComment fonctionne le courge-racine.
Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
-
Complétez l'assistant comme vous le faites lorsque vous créez un nouveau système de fichiers.
-
Choisissez Review and create.
-
Passez en revue les paramètres que vous avez choisis FSx pour votre système de fichiers Amazon for Lustre, puis choisissez Create file system.
Lorsque le système de fichiers est disponible, Root Squash est activé.
Pour créer un système de fichiers FSx pour Lustre avec root squash activé, utilisez la FSx CLI commande Amazon
create-file-systemavec leRootSquashConfigurationparamètre. L'APIopération correspondante est CreateFileSystem.Pour le
RootSquashConfigurationparamètre, définissez les options suivantes :RootSquash— Les GID valeurs séparées par UID des virgules indiquent l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre0—4294967294(0 correspond à la racine) pour chaque ID (par exemple,65534:65534).NoSquashNids— Spécifiez les identifiants réseau Lustre (NIDs) des clients auxquels Root Squash ne s'applique pas. Pour plus d'informations sur le NID format du client, voirComment fonctionne le courge-racine.
L'exemple suivant crée un système de fichiers FSx for Lustre avec root squash activé :
$aws fsx create-file-system \ --client-request-token CRT1234 \ --file-system-type LUSTRE \ --file-system-type-version 2.15 \ --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\ RootSquashConfiguration={RootSquash="65534:65534",\ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \ --storage-capacity 2400 \ --subnet-ids subnet-123456 \ --tags Key=Name,Value=Lustre-TEST-1 \ --region us-east-2
Après avoir créé le système de fichiers avec succès, Amazon FSx renvoie la description du système de fichiers comme indiqué dans l'exemple suivant. JSON
{
"FileSystems": [
{
"OwnerId": "111122223333",
"CreationTime": 1549310341.483,
"FileSystemId": "fs-0123456789abcdef0",
"FileSystemType": "LUSTRE",
"FileSystemTypeVersion": "2.15",
"Lifecycle": "CREATING",
"StorageCapacity": 2400,
"VpcId": "vpc-123456",
"SubnetIds": [
"subnet-123456"
],
"NetworkInterfaceIds": [
"eni-039fcf55123456789"
],
"DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
"ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
"Tags": [
{
"Key": "Name",
"Value": "Lustre-TEST-1"
}
],
"LustreConfiguration": {
"DeploymentType": "PERSISTENT_2",
"DataCompressionType": "LZ4",
"PerUnitStorageThroughput": 250,
"RootSquashConfiguration": {
"RootSquash": "65534:65534",
"NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
}
}
]
}Vous pouvez également mettre à jour les paramètres root squash de votre système de fichiers existant à l'aide de la FSx console Amazon AWS CLI, ouAPI. Par exemple, vous pouvez modifier le root squash UID et ses GID valeurs, ajouter ou supprimer un clientNIDs, ou désactiver root squash.
Ouvrez la FSx console Amazon à l'adresse https://console.aws.amazon.com/fsx/
. -
Accédez à Systèmes de fichiers, puis choisissez le système de fichiers Lustre pour lequel vous souhaitez gérer Root Squash.
Pour Actions, choisissez Mettre à jour la courge rouge. Ou, dans le panneau Résumé, choisissez Mettre à jour à côté du champ Root Squash du système de fichiers pour afficher la boîte de dialogue Mettre à jour les paramètres de Root Squash.
-
Pour Root Squash, mettez à jour l'utilisateur et le groupe IDs avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre
0—4294967294. Pour désactiver la courge racine, spécifiez0(zéro) pour les deuxIDs.Pour ID utilisateur, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
Pour ID de groupe, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
-
Pour les exceptions relatives à la courge rouge, procédez comme suit :
Choisissez Ajouter une adresse client.
Dans le champ Adresses des clients, spécifiez l'adresse IP d'un client auquel root squash ne s'applique pas,
Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
Choisissez Mettre à jour.
Note
Si Root squash est activé et que vous souhaitez le désactiver, choisissez Désactiver au lieu de suivre les étapes 4 à 6.
Vous pouvez suivre la progression de la mise à jour sur la page détaillée des systèmes de fichiers dans l'onglet Mises à jour.
Pour mettre à jour les paramètres de root squash pour un système de fichiers existant FSx pour Lustre, utilisez la AWS CLI commande update-file-system. L'APIopération correspondante est UpdateFileSystem.
Définissez les paramètres suivants :
-
--file-system-idDéfini sur l'ID du système de fichiers que vous mettez à jour. -
Définissez les
--lustre-configuration RootSquashConfigurationoptions comme suit :RootSquash— Définissez les GID valeurs séparées par des virgules UID : qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre0—4294967294(0 correspond à la racine) pour chaque ID. Pour désactiver Root squash, spécifiez0:0les GID valeurs UID :.NoSquashNids— Spécifiez les identifiants réseau Lustre (NIDs) des clients auxquels Root Squash ne s'applique pas.[]À utiliser pour supprimer tous les clientsNIDs, ce qui signifie qu'il n'y aura aucune exception à Root Squash.
Cette commande indique que root squash est activé en utilisant 65534 comme valeur l'ID utilisateur et l'ID de groupe de l'utilisateur root.
$ aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}
Si la commande aboutit, Amazon FSx for Lustre renvoie la réponse sous JSON forme formatée.
Vous pouvez consulter les paramètres root squash de votre système de fichiers dans le panneau Résumé de la page de détails du système de fichiers sur la FSx console Amazon ou en réponse à une describe-file-systemsCLIcommande (l'APIaction équivalente est DescribeFileSystems).
