Zucca a radice Lustre

Root squash è una funzionalità amministrativa che aggiunge un ulteriore livello di controllo dell'accesso ai file oltre all'attuale controllo degli accessi basato sulla rete e POSIX alle autorizzazioni dei file. Utilizzando la funzionalità root squash, è possibile limitare l'accesso a livello root da parte dei client che tentano di accedere al file system FSx for Lustre come root.

Le autorizzazioni degli utenti root sono necessarie per eseguire azioni amministrative, come la gestione delle autorizzazioni sui FSx file system Lustre. Tuttavia, l'accesso root fornisce un accesso illimitato agli utenti, consentendo loro di aggirare i controlli di autorizzazione per accedere, modificare o eliminare gli oggetti del file system. Utilizzando la funzione root squash, è possibile impedire l'accesso o l'eliminazione non autorizzati dei dati specificando un ID utente (UID) e un ID di gruppo () non root per il file system. GID Gli utenti root che accedono al file system verranno automaticamente convertiti nell'utente/gruppo con privilegi inferiori specificato con autorizzazioni limitate impostate dall'amministratore dello storage.

La funzione root squash consente inoltre, facoltativamente, di fornire un elenco di client che non sono interessati dall'impostazione root squash. Questi client possono accedere al file system come root, con privilegi illimitati.

Come funziona il root squash

La funzione root squash funziona mappando nuovamente l'ID utente (UID) e l'ID di gruppo (GID) dell'utente root su un UID e GID specificato dall'amministratore di sistema Lustre. La funzione root squash consente inoltre di specificare facoltativamente un set di client per i qualiUID/re-mapping non è applicabile. GID

Quando si crea un nuovo file system FSx for Lustre, root squash è disabilitato per impostazione predefinita. È possibile abilitare root squash configurando un'impostazione UID e GID root squash per il FSx file system for Lustre. I GID valori UID e sono numeri interi che possono variare da a: 0 4294967294

• Un valore diverso da zero per UID e GID abilita il root squash. I GID valori UID and possono essere diversi, ma ognuno deve essere un valore diverso da zero.

• Il valore 0 (zero) GID indica root UID e pertanto disabilita root squash.

Durante la creazione del file system, puoi utilizzare la FSx console Amazon per fornire la radice squash UID e GID i valori nella proprietà Root Squash, come mostrato in. Per abilitare root squash durante la creazione di un file system (console) Puoi anche utilizzare il RootSquash parametro con AWS CLI o API per fornire i GID valori UID e, come mostrato in. Per abilitare root squash durante la creazione di un file system () CLI

Facoltativamente, puoi anche specificare un elenco NIDs di client per i quali root squash non è applicabile. Un client NID è un Lustre Network Identifier utilizzato per identificare in modo univoco un client. È possibile specificarlo NID come indirizzo singolo o come intervallo di indirizzi:

• Un singolo indirizzo viene descritto nel NID formato Lustre standard specificando l'indirizzo IP del client seguito dall'ID di rete Lustre (ad esempio,). 10.0.1.6@tcp

• Un intervallo di indirizzi viene descritto utilizzando un trattino per separare l'intervallo (ad esempio,). 10.0.[2-10].[1-255]@tcp

• Se non specifichi alcun clientNIDs, non ci saranno eccezioni a root squash.

Quando crei o aggiorni il tuo file system, puoi utilizzare la proprietà Exceptions to Root Squash nella FSx console Amazon per fornire l'elenco dei client. NIDs In AWS CLI oAPI, usa il NoSquashNids parametro. Per ulteriori informazioni, vedere le procedure inGestire la zucca.

Gestire la zucca

Durante la creazione del file system, root squash è disabilitato per impostazione predefinita. Puoi abilitare root squash quando crei un nuovo file system Amazon FSx for Lustre dalla FSx console Amazon AWS CLI, oppure. API

Per abilitare root squash durante la creazione di un file system (console)

1. Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/.

2. Segui la procedura per creare un nuovo file system descritta Passaggio 1: crea il tuo file FSx system for Lustre nella sezione Guida introduttiva.

3. Apri la sezione Root Squash - opzionale.

4. Per Root Squash, fornisci l'utente e il gruppo IDs con cui l'utente root può accedere al file system. È possibile specificare qualsiasi numero intero compreso nell'intervallo di 1 —: 4294967294

   1. Per ID utente, specificare l'ID utente da utilizzare per l'utente root.

   2. Per ID di gruppo, specifica l'ID di gruppo che l'utente root deve utilizzare.

5. (Facoltativo) Per le eccezioni a Root Squash, effettuate le seguenti operazioni:

   1. Scegli Aggiungi indirizzo cliente.

   2. Nel campo Indirizzi client, specifica l'indirizzo IP di un client a cui non si applica root squash. Per informazioni sul formato dell'indirizzo IP, consultaCome funziona il root squash.

   3. Ripetere l'operazione se necessario per aggiungere altri indirizzi IP del client.

6. Completa la procedura guidata come quando crei un nuovo file system.

7. Scegliere Review and create (Rivedi e crea).

8. Controlla le impostazioni che hai scelto per il tuo file system Amazon FSx for Lustre, quindi scegli Crea file system.

Quando il file system è disponibile, root squash è abilitato.

Per abilitare root squash durante la creazione di un file system () CLI

• Per creare un file system FSx for Lustre con root squash abilitato, usa il FSx CLI comando Amazon create-file-systemcon il RootSquashConfiguration parametro. L'APIoperazione corrispondente è. CreateFileSystem

  Per il RootSquashConfiguration parametro, impostate le seguenti opzioni:

  • RootSquash— I valori separati da due puntiUID: GID valori che specificano l'ID utente e l'ID del gruppo da utilizzare per l'utente root. È possibile specificare qualsiasi numero intero nell'intervallo di 0 — 4294967294 (0 è root) per ogni ID (ad esempio,65534:65534).

  • NoSquashNids— Specificate i Lustre Network Identifiers (NIDs) dei client a cui non si applica root squash. Per informazioni sul NID formato del client, vedere. Come funziona il root squash

  L'esempio seguente crea un file system FSx for Lustre con root squash abilitato:

  $ aws fsx create-file-system \
        --client-request-token CRT1234 \
        --file-system-type LUSTRE \
        --file-system-type-version 2.15 \
        --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
            RootSquashConfiguration={RootSquash="65534:65534",\
            NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
        --storage-capacity 2400 \
        --subnet-ids subnet-123456 \
        --tags Key=Name,Value=Lustre-TEST-1 \
        --region us-east-2

Dopo aver creato correttamente il file system, Amazon FSx restituisce la descrizione del file system come mostrato nell'esempio seguente. JSON

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Puoi anche aggiornare le impostazioni root squash del tuo file system esistente utilizzando la FSx console Amazon AWS CLI, oppureAPI. Ad esempio, puoi modificare la radice squash UID e GID i valori, aggiungere o rimuovere il client NIDs o disabilitare root squash.

Per aggiornare le impostazioni di root squash su un file system esistente (console)

1. Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/.

2. Vai a File system e scegli il file system Lustre per cui vuoi gestire root squash.

3. Per Azioni, scegli Aggiorna root squash. Oppure, nel pannello Riepilogo, scegliete Aggiorna accanto al campo Root Squash del file system per visualizzare la finestra di dialogo Aggiorna le impostazioni di Root Squash.

4. Per Root Squash, aggiorna l'utente e il gruppo IDs con cui l'utente root può accedere al file system. È possibile specificare qualsiasi numero intero compreso nell'intervallo di 0 —4294967294. Per disabilitare root squash, specifica 0 (zero) per entrambiIDs.

   1. Per ID utente, specifica l'ID utente da utilizzare per l'utente root.

   2. Per ID di gruppo, specifica l'ID di gruppo che l'utente root deve utilizzare.

5. Per le eccezioni a Root Squash, procedi come segue:

   1. Scegli Aggiungi indirizzo cliente.

   2. Nel campo Indirizzi client, specifica l'indirizzo IP di un client a cui non si applica root squash,

   3. Ripetere l'operazione se necessario per aggiungere altri indirizzi IP del client.

6. Scegli Aggiorna.

   Nota

   Se root squash è abilitato e vuoi disabilitarlo, scegli Disabilita invece di eseguire i passaggi 4-6.

È possibile monitorare l'avanzamento dell'aggiornamento nella pagina dei dettagli del file system nella scheda Aggiornamenti.

Per aggiornare le impostazioni di root squash su un file system esistente () CLI

Per aggiornare le impostazioni root squash per un file system FSx for Lustre esistente, usate il comando. AWS CLI update-file-system L'APIoperazione corrispondente è. UpdateFileSystem

Imposta i seguenti parametri:

• --file-system-idImposta l'ID del file system che stai aggiornando.

• Impostate le --lustre-configuration RootSquashConfiguration opzioni come segue:

  • RootSquash— Imposta i valori separati da due puntiUID: GID valori che specificano l'ID utente e l'ID di gruppo che l'utente root deve utilizzare. È possibile specificare qualsiasi numero intero nell'intervallo di 0 — 4294967294 (0 è root) per ogni ID. Per disabilitare root squash, specificate 0:0 i GID valoriUID:.

  • NoSquashNids— Specificate i Lustre Network Identifiers (NIDs) dei client a cui non si applica root squash. []Utilizzatelo per rimuovere tutti i clientNIDs, il che significa che non ci saranno eccezioni a root squash.

Questo comando specifica che root squash è abilitato utilizzando 65534 come valore l'ID utente e l'ID di gruppo dell'utente root.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Se il comando ha esito positivo, Amazon FSx for Lustre restituisce la risposta in JSON formato.

Puoi visualizzare le impostazioni root squash del tuo file system nel pannello Riepilogo della pagina dei dettagli del file system sulla FSx console Amazon o nella risposta a un describe-file-systemsCLIcomando (l'APIazione equivalente è DescribeFileSystems).