Lustre RootRoot Squash

Root Squash는 현재 네트워크 기반 액세스 제어 및 POSIX 파일 권한 위에 파일 액세스 제어 계층을 추가하는 관리 기능입니다. Root Squash 기능을 사용하면 FSx for Lustre 파일 시스템에 루트로 액세스하려는 클라이언트의 루트 수준 액세스를 제한할 수 있습니다.

FSx for Lustre 파일 시스템의 권한 관리와 같은 관리 작업을 수행하려면 루트 사용자 권한이 필요합니다. 그러나 루트 액세스는 사용자에게 무제한 액세스를 제공하므로 사용자는 권한 검사를 우회하여 파일 시스템 객체를 액세스, 수정 또는 삭제할 수 있습니다. Root Squash 기능을 사용하면 파일 시스템에 루트가 아닌 사용자 ID(UID)와 그룹 ID(GID)를 지정하여 데이터에 대한 무단 액세스 또는 삭제를 방지할 수 있습니다. 파일 시스템에 액세스하는 루트 사용자는 스토리지 관리자가 설정한 제한된 권한을 가진 지정된 권한이 없는 사용자/그룹으로 자동 변환됩니다.

또한 Root Squash 기능을 사용하면 Root Squash 설정의 영향을 받지 않는 클라이언트 목록을 제공할 수도 있습니다. 이러한 클라이언트는 무제한 권한으로 루트로 파일 시스템에 액세스할 수 있습니다.

Root Squash 작동 방식

Root Squash 기능은 루트 사용자의 사용자 ID(UID)와 그룹 ID(GID)를 Lustre 시스템 관리자가 지정한 UID와 GID에 다시 매핑하여 작동합니다. 또한 Root Squash 기능을 사용하면 UID/GID 재매핑이 적용되지 않는 클라이언트 세트를 선택적으로 지정할 수 있습니다.

새 FSx for Lustre 파일 시스템을 만들 때 Root Squash는 기본적으로 비활성화되어 있습니다. FSx for Lustre 파일 시스템의 UID 및 GID Root Squash 설정을 구성하여 Root Squash를 활성화합니다. UID 및 GID 값은 0에서 4294967294 범위의 정수입니다.

• UID 및 GID 값이 0이 아닌 경우 Root Squash가 활성화됩니다. UID 및 GID 값은 다를 수 있지만 각각 0이 아닌 값이어야 합니다.

• UID 및 GID 값이 0(0)이면 루트를 나타내므로 Root Squash가 비활성화됩니다.

파일 시스템을 생성하는 동안 Amazon FSx 콘솔을 사용하여 그림 파일 시스템(콘솔) 생성 시 Root Squash 활성화 방법와 같이 Root Squash 속성에서 Root Squash UID 및 GID 값을 제공할 수 있습니다. AWS CLI 또는 API와 함께 RootSquash 파라미터를 사용하여에 표시된 대로 UID 및 GID 값을 제공할 수도 있습니다파일 시스템(CLI) 생성 시 Root Squash 활성화 방법.

선택적으로 Root Squash가 적용되지 않는 클라이언트의 NID 목록을 지정할 수도 있습니다. 클라이언트 NID는 클라이언트를 고유하게 식별하는 데 사용되는 Lustre 네트워크 식별자입니다. NID를 단일 주소 또는 주소 범위로 지정할 수 있습니다.

• 단일 주소는 클라이언트의 IP 주소 다음에 Lustre 네트워크 ID(예: 10.0.1.6@tcp)를 지정하여 표준 Lustre NID 형식으로 설명됩니다.

• 주소 범위는 대시를 사용하여 범위를 구분하여 설명합니다(예: 10.0.[2-10].[1-255]@tcp).

• 클라이언트 NID를 지정하지 않는 경우 Root Squash에는 예외가 없습니다.

파일 시스템을 생성하거나 업데이트할 때 Amazon FSx 콘솔에서 Root Squash에 대한 예외 속성을 사용하여 클라이언트 NIDs. AWS CLI 또는 API에서 NoSquashNids 파라미터를 사용합니다. 자세한 내용은 Root Squash 관리의 절차를 참조하세요.

Root Squash 관리

파일 시스템을 만드는 동안 기본적으로 Root Squash는 비활성화됩니다. Amazon FSx 콘솔, AWS CLI또는 API에서 새 Amazon FSx for Lustre 파일 시스템을 생성할 때 Root Squash를 활성화할 수 있습니다.

파일 시스템(콘솔) 생성 시 Root Squash 활성화 방법

1. https://console.aws.amazon.com/fsx/에서 Amazon FSx 콘솔을 엽니다.

2. 시작하기 섹션의 1단계: FSx for Lustre 파일 시스템 생성 섹션에 설명된 새 파일 시스템 생성 절차를 따릅니다.

3. Root Squash - 선택 사항 섹션을 엽니다.

4. Root Squash의 경우 루트 사용자가 파일 시스템에 액세스할 수 있는 사용자 및 그룹 ID를 제공합니다. 1-4294967294 범위의 정수를 지정할 수 있습니다.

   1. 사용자 ID에 사용할 루트 사용자의 사용자 ID를 지정합니다.

   2. 그룹 ID에 사용할 루트 사용자의 그룹 ID를 지정합니다.

5. (선택 사항) Root Squash 대한 예외의 경우 다음을 수행합니다.

   1. 클라이언트 주소 추가를 선택합니다.

   2. 클라이언트 주소 필드에서 Root Squash가 적용되지 않는 클라이언트의 IP 주소를 지정합니다. IP 주소 형식에 대한 자세한 내용은 Root Squash 작동 방식을 참조하세요.

   3. 필요에 따라 반복하여 클라이언트 IP 주소를 추가합니다.

6. 새 파일 시스템을 생성할 때와 마찬가지로 마법사를 완료합니다.

7. 검토 및 생성을 선택합니다.

8. Amazon FSx for Lustre 파일 시스템의 선택한 설정을 검토한 다음 파일 시스템 생성을 선택합니다.

파일 시스템을 사용할 수 있는 경우 Root Squash가 활성화됩니다.

파일 시스템(콘솔) 생성 시 Root Squash 활성화 방법

1. https://console.aws.amazon.com/fsx/에서 Amazon FSx 콘솔을 엽니다.

2. 시작하기 섹션의 1단계: FSx for Lustre 파일 시스템 생성 섹션에 설명된 새 파일 시스템 생성 절차를 따릅니다.

3. Root Squash - 선택 사항 섹션을 엽니다.

4. Root Squash의 경우 루트 사용자가 파일 시스템에 액세스할 수 있는 사용자 및 그룹 ID를 제공합니다. 1-4294967294 범위의 정수를 지정할 수 있습니다.

   1. 사용자 ID에 사용할 루트 사용자의 사용자 ID를 지정합니다.

   2. 그룹 ID에 사용할 루트 사용자의 그룹 ID를 지정합니다.

5. (선택 사항) Root Squash 대한 예외의 경우 다음을 수행합니다.

   1. 클라이언트 주소 추가를 선택합니다.

   2. 클라이언트 주소 필드에서 Root Squash가 적용되지 않는 클라이언트의 IP 주소를 지정합니다. IP 주소 형식에 대한 자세한 내용은 Root Squash 작동 방식을 참조하세요.

   3. 필요에 따라 반복하여 클라이언트 IP 주소를 추가합니다.

6. 새 파일 시스템을 생성할 때와 마찬가지로 마법사를 완료합니다.

7. 검토 및 생성을 선택합니다.

8. Amazon FSx for Lustre 파일 시스템의 선택한 설정을 검토한 다음 파일 시스템 생성을 선택합니다.

파일 시스템을 사용할 수 있는 경우 Root Squash가 활성화됩니다.

파일 시스템(CLI) 생성 시 Root Squash 활성화 방법

• Root Squash가 활성화된 상태에서 FSx for Lustre 파일 시스템을 생성하려면 Amazon FSx CLI 명령을 RootSquashConfiguration 파라미터와 함께 create-file-system을 사용합니다. 해당 API 작업은 CreateFileSystem 입니다.

  RootSquashConfiguration 파라미터에 대해 다음 옵션 중 하나를 선택합니다.

  • RootSquash - 루트 사용자가 사용할 사용자 ID와 그룹 ID를 지정하는 콜론으로 구분된 UID:GID 값입니다. 각 ID에 대해 0 - 4294967294(0은 루트) 범위 내의 모든 정수를 지정할 수 있습니다(예: 65534:65534).

  • NoSquashNids - Root Squash가 적용되지 않는 클라이언트의 Lustre 네트워크 식별자(NID)를 지정합니다. 클라이언트 NID 형식에 대한 자세한 내용은 Root Squash 작동 방식 섹션을 참조하세요.

  다음 예제에서는 Root Squash가 활성화된 FSx for Lustre 파일 시스템을 생성합니다.

  $ aws fsx create-file-system \
        --client-request-token CRT1234 \
        --file-system-type LUSTRE \
        --file-system-type-version 2.15 \
        --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
            RootSquashConfiguration={RootSquash="65534:65534",\
            NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
        --storage-capacity 2400 \
        --subnet-ids subnet-123456 \
        --tags Key=Name,Value=Lustre-TEST-1 \
        --region us-east-2

파일 시스템을 생성한 후 Amazon FSx에서는 다음 예에서처럼 파일 시스템 설명을 JSON으로 반환합니다.

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

파일 시스템(CLI) 생성 시 Root Squash 활성화 방법

• Root Squash가 활성화된 상태에서 FSx for Lustre 파일 시스템을 생성하려면 Amazon FSx CLI 명령을 RootSquashConfiguration 파라미터와 함께 create-file-system을 사용합니다. 해당 API 작업은 CreateFileSystem 입니다.

  RootSquashConfiguration 파라미터에 대해 다음 옵션 중 하나를 선택합니다.

  • RootSquash - 루트 사용자가 사용할 사용자 ID와 그룹 ID를 지정하는 콜론으로 구분된 UID:GID 값입니다. 각 ID에 대해 0 - 4294967294(0은 루트) 범위 내의 모든 정수를 지정할 수 있습니다(예: 65534:65534).

  • NoSquashNids - Root Squash가 적용되지 않는 클라이언트의 Lustre 네트워크 식별자(NID)를 지정합니다. 클라이언트 NID 형식에 대한 자세한 내용은 Root Squash 작동 방식 섹션을 참조하세요.

  다음 예제에서는 Root Squash가 활성화된 FSx for Lustre 파일 시스템을 생성합니다.

  $ aws fsx create-file-system \
        --client-request-token CRT1234 \
        --file-system-type LUSTRE \
        --file-system-type-version 2.15 \
        --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
            RootSquashConfiguration={RootSquash="65534:65534",\
            NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
        --storage-capacity 2400 \
        --subnet-ids subnet-123456 \
        --tags Key=Name,Value=Lustre-TEST-1 \
        --region us-east-2

파일 시스템을 생성한 후 Amazon FSx에서는 다음 예에서처럼 파일 시스템 설명을 JSON으로 반환합니다.

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Amazon FSx 콘솔 AWS CLI또는 API를 사용하여 기존 파일 시스템의 루트 스쿼시 설정을 업데이트할 수도 있습니다. 예를 들어 Root Squash UID 및 GID 값을 변경하거나, 클라이언트 NID를 추가 또는 제거하거나, Root Squash를 비활성화할 수 있습니다.

기존 파일 시스템(콘솔)에서 Root Squash 설정 업데이트

1. https://console.aws.amazon.com/fsx/에서 Amazon FSx 콘솔을 엽니다.

2. 파일 시스템으로 이동하여 Root Squash를 관리할 Lustre 파일 시스템을 선택합니다.

3. 작업에서 Root Squash 업데이트를 선택합니다. 또는 요약 패널에서 파일 시스템의 Root Squash 필드 옆에 있는 업데이트를 선택하여 Root Squash 설정 업데이트 대화 상자를 표시합니다.

4. Root Squash의 경우 루트 사용자가 파일 시스템에 액세스할 수 있는 사용자 및 그룹 IDs를 업데이트합니다. 0-4294967294 범위의 정수를 지정할 수 있습니다. Root Squash를 비활성화하려면 두 ID 모두에 0 (0)을 지정합니다. IDs

   1. 사용자 ID에 사용할 루트 사용자의 사용자 ID를 지정합니다.

   2. 그룹 ID에 사용할 루트 사용자의 그룹 ID를 지정합니다.

5. Root Squash에 대한 예외의 경우 다음을 수행합니다.

   1. 클라이언트 주소 추가를 선택합니다.

   2. 클라이언트 주소 필드에서 Root Squash가 적용되지 않는 클라이언트의 IP 주소를 지정합니다.

   3. 필요에 따라 반복하여 클라이언트 IP 주소를 추가합니다.

6. 업데이트를 선택합니다.

   참고

   Root Squash가 활성화되어 있고 비활성화하려면 4~6단계를 수행하는 대신 비활성화를 선택합니다.

업데이트 탭의 파일 시스템 세부 정보 페이지에서 업데이트 진행 상황을 모니터링할 수 있습니다.

기존 파일 시스템(콘솔)에서 Root Squash 설정 업데이트

1. https://console.aws.amazon.com/fsx/에서 Amazon FSx 콘솔을 엽니다.

2. 파일 시스템으로 이동하여 Root Squash를 관리할 Lustre 파일 시스템을 선택합니다.

3. 작업에서 Root Squash 업데이트를 선택합니다. 또는 요약 패널에서 파일 시스템의 Root Squash 필드 옆에 있는 업데이트를 선택하여 Root Squash 설정 업데이트 대화 상자를 표시합니다.

4. Root Squash의 경우 루트 사용자가 파일 시스템에 액세스할 수 있는 사용자 및 그룹 IDs를 업데이트합니다. 0-4294967294 범위의 정수를 지정할 수 있습니다. Root Squash를 비활성화하려면 두 ID 모두에 0 (0)을 지정합니다. IDs

   1. 사용자 ID에 사용할 루트 사용자의 사용자 ID를 지정합니다.

   2. 그룹 ID에 사용할 루트 사용자의 그룹 ID를 지정합니다.

5. Root Squash에 대한 예외의 경우 다음을 수행합니다.

   1. 클라이언트 주소 추가를 선택합니다.

   2. 클라이언트 주소 필드에서 Root Squash가 적용되지 않는 클라이언트의 IP 주소를 지정합니다.

   3. 필요에 따라 반복하여 클라이언트 IP 주소를 추가합니다.

6. 업데이트를 선택합니다.

   참고

   Root Squash가 활성화되어 있고 비활성화하려면 4~6단계를 수행하는 대신 비활성화를 선택합니다.

업데이트 탭의 파일 시스템 세부 정보 페이지에서 업데이트 진행 상황을 모니터링할 수 있습니다.

기존 파일 시스템(CLI)에서 Root Squash 설정 업데이트

기존 FSx for Lustre 파일 시스템의 루트 스쿼시 설정을 업데이트하려면 update-file-system AWS CLI 명령을 사용합니다. 해당 API 작업은 UpdateFileSystem입니다.

다음 파라미터를 설정합니다.

• --file-system-id를 업데이트하려는 파일 시스템의 ID로 설정합니다.

• --lustre-configuration RootSquashConfiguration 옵션을 다음과 같이 설정합니다.

  • RootSquash - 루트 사용자가 사용할 사용자 ID 및 그룹 ID를 지정하는 콜론으로 구분된 UID:GID 값을 설정합니다. 각 ID에 대해 0 - 4294967294(0은 루트) 범위 내의 모든 정수를 지정할 수 있습니다. Root Squash를 비활성화하려면 0:0에 대한 UID:GID 값을 지정합니다.

  • NoSquashNids - Root Squash가 적용되지 않는 클라이언트의 Lustre 네트워크 식별자(NID)를 지정합니다. []를 모든 클라이언트 NID를 제거하는 데 사용합니다. 즉, Root Squash에는 예외가 없습니다.

이 명령은 루트 사용자의 사용자 ID 및 그룹 ID 값으로 65534를 사용하여 Root Squash를 활성화하도록 지정합니다.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

명령이 성공하면 Amazon FSx for Lustre는 응답을 JSON 형식으로 반환합니다.

기존 파일 시스템(CLI)에서 Root Squash 설정 업데이트

기존 FSx for Lustre 파일 시스템의 루트 스쿼시 설정을 업데이트하려면 update-file-system AWS CLI 명령을 사용합니다. 해당 API 작업은 UpdateFileSystem입니다.

다음 파라미터를 설정합니다.

• --file-system-id를 업데이트하려는 파일 시스템의 ID로 설정합니다.

• --lustre-configuration RootSquashConfiguration 옵션을 다음과 같이 설정합니다.

  • RootSquash - 루트 사용자가 사용할 사용자 ID 및 그룹 ID를 지정하는 콜론으로 구분된 UID:GID 값을 설정합니다. 각 ID에 대해 0 - 4294967294(0은 루트) 범위 내의 모든 정수를 지정할 수 있습니다. Root Squash를 비활성화하려면 0:0에 대한 UID:GID 값을 지정합니다.

  • NoSquashNids - Root Squash가 적용되지 않는 클라이언트의 Lustre 네트워크 식별자(NID)를 지정합니다. []를 모든 클라이언트 NID를 제거하는 데 사용합니다. 즉, Root Squash에는 예외가 없습니다.

이 명령은 루트 사용자의 사용자 ID 및 그룹 ID 값으로 65534를 사용하여 Root Squash를 활성화하도록 지정합니다.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

명령이 성공하면 Amazon FSx for Lustre는 응답을 JSON 형식으로 반환합니다.

Amazon FSx 콘솔의 파일 시스템 세부 정보 페이지의 요약 패널에서 또는 describe-file-systems CLI 명령의 응답으로 파일 시스템의 Root Squash 설정을 볼 수 있습니다(동등한 API 작업은 DescribeFileSystems입니다).