Lustre root squash

O Root squash é um recurso administrativo que adiciona uma camada adicional de controle de acesso a arquivos além do atual controle de acesso baseado em rede e POSIX das permissões de arquivo. Usando o recurso root squash, você pode restringir o acesso no nível raiz de clientes que tentam acessar seu sistema de arquivos FSx for Lustre como root.

As permissões do usuário root são necessárias para realizar ações administrativas, como gerenciar permissões nos sistemas FSx de arquivos Lustre. No entanto, o acesso raiz fornece acesso irrestrito aos usuários, permitindo que eles ignorem as verificações de permissão para acessar, modificar ou excluir objetos do sistema de arquivos. Usando o recurso root squash, você pode impedir o acesso não autorizado ou a exclusão de dados especificando uma ID de usuário não raiz (UID) e uma ID de grupo () para seu sistema de arquivosGID. Os usuários raiz que acessam o sistema de arquivos serão automaticamente convertidos no usuário/grupo menos privilegiado especificado, com permissões limitadas definidas pelo administrador de armazenamento.

O recurso root squash também permite, opcionalmente, fornecer uma lista de clientes que não são afetados pela configuração do root squash. Esses clientes podem acessar o sistema de arquivos como raiz, com privilégios irrestritos.

Como o root squash funciona

O recurso root squash funciona remapeando o ID do usuário (UID) e o ID do grupo (GID) do usuário raiz para um UID e GID especificado pelo administrador do sistema Lustre. O recurso root squash também permite especificar opcionalmente um conjunto de clientes aos quais o GID remapeamento UID /não se aplica.

Quando você cria um novo sistema de arquivos FSx para o Lustre, o root squash é desativado por padrão. Você ativa o root squash definindo uma configuração de GID root squash para o seu sistema de arquivos FSx for UID Lustre. Os GID valores UID e são números inteiros que podem variar de 0 até4294967294:

• Um valor diferente de zero para UID e GID habilita o root squash. Os GID valores UID e podem ser diferentes, mas cada um deve ser um valor diferente de zero.

• Um valor de 0 (zero) para UID e GID indica raiz e, portanto, desativa o root squash.

Durante a criação do sistema de arquivos, você pode usar o FSx console da Amazon para fornecer o root squash UID e GID os valores na propriedade Root Squash, conforme mostrado em. Para habilitar o root squash ao criar um sistema de arquivos (console) Você também pode usar o RootSquash parâmetro com o AWS CLI ou API para fornecer os GID valores UID e, conforme mostrado emPara habilitar o root squash ao criar um sistema de arquivos () CLI.

Opcionalmente, você também pode especificar uma lista NIDs de clientes aos quais o root squash não se aplica. Um cliente NID é um identificador de rede Lustre usado para identificar um cliente de forma exclusiva. Você pode especificar o NID como um único endereço ou um intervalo de endereços:

• Um único endereço é descrito no NID formato Lustre padrão, especificando o endereço IP do cliente seguido pelo ID da rede Lustre (por exemplo,). 10.0.1.6@tcp

• Um intervalo de endereços é descrito usando um traço para separar o intervalo (por exemplo, 10.0.[2-10].[1-255]@tcp).

• Se você não especificar nenhum clienteNIDs, não haverá exceções ao root squash.

Ao criar ou atualizar seu sistema de arquivos, você pode usar a propriedade Exceptions to Root Squash no FSx console da Amazon para fornecer a lista de clientes. NIDs No AWS CLI ouAPI, use o NoSquashNids parâmetro. Para obter mais informações, consulte os procedimentos emComo gerenciar root squash.

Como gerenciar root squash

Durante a criação do sistema de arquivos, o root squash é desativado por padrão. Você pode ativar o root squash ao criar um novo sistema de arquivos Amazon FSx for Lustre a partir do FSx console da Amazon, AWS CLI, ou. API

Para habilitar o root squash ao criar um sistema de arquivos (console)

1. Abra o FSx console da Amazon em https://console.aws.amazon.com/fsx/.

2. Siga o procedimento para a criação de um novo sistema de arquivos descrito na Etapa 1: Crie seu sistema de arquivos FSx for Lustre na seção Conceitos básicos.

3. Abra a seção Root Squash - opcional.

4. Para o Root Squash, forneça o usuário e o grupo IDs com os quais o usuário root pode acessar o sistema de arquivos. Você pode especificar qualquer número inteiro no intervalo de 1 —4294967294:

   1. Em ID do usuário, especifique o ID do usuário para o usuário root usar.

   2. Em ID do grupo, especifique a ID do grupo a ser usada pelo usuário raiz.

5. (Opcional) Para exceções ao Root Squash, faça o seguinte:

   1. Escolha Adicionar endereço do cliente.

   2. No campo Endereços do cliente, especifique o endereço IP de um cliente ao qual o root squash não se aplica. Para obter informações sobre o formato do endereço IP, consulteComo o root squash funciona.

   3. Repita conforme necessário para adicionar mais endereços IP do cliente.

6. Conclua o assistente da forma como você faz quando cria um novo sistema de arquivos.

7. Selecione Review and create.

8. Revise as configurações que você escolheu para seu sistema de arquivos Amazon FSx for Lustre e, em seguida, escolha Criar sistema de arquivos.

Quando o sistema de arquivos está disponível, o root squash é ativado.

Para habilitar o root squash ao criar um sistema de arquivos () CLI

• Para criar um sistema de arquivos FSx para o Lustre com o root squash ativado, use o FSx CLI comando Amazon create-file-systemcom o RootSquashConfiguration parâmetro. A API operação correspondente é CreateFileSystem.

  Para o parâmetro RootSquashConfiguration, defina as seguintes opções:

  • RootSquash— Separados por dois pontosUID: GID valores que especificam o ID do usuário e o ID do grupo para o usuário root usar. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294 (0 é raiz) para cada ID (por exemplo, 65534:65534).

  • NoSquashNids— Especifique os identificadores de rede Lustre (NIDs) dos clientes aos quais o root squash não se aplica. Para obter informações sobre o NID formato do cliente, consulteComo o root squash funciona.

  O exemplo a seguir cria um sistema de arquivos FSx for Lustre com o root squash ativado:

  $ aws fsx create-file-system \
        --client-request-token CRT1234 \
        --file-system-type LUSTRE \
        --file-system-type-version 2.15 \
        --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
            RootSquashConfiguration={RootSquash="65534:65534",\
            NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
        --storage-capacity 2400 \
        --subnet-ids subnet-123456 \
        --tags Key=Name,Value=Lustre-TEST-1 \
        --region us-east-2

Depois de criar o sistema de arquivos com sucesso, a Amazon FSx retorna a descrição do sistema de arquivos comoJSON, conforme mostrado no exemplo a seguir.

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Você também pode atualizar as configurações do root squash do seu sistema de arquivos existente usando o FSx console da Amazon, AWS CLI, ouAPI. Por exemplo, você pode alterar o root squash UID e GID os valores, adicionar ou remover o cliente NIDs ou desativar o root squash.

Para atualizar as configurações do root squash em um sistema de arquivos existente (console)

1. Abra o FSx console da Amazon em https://console.aws.amazon.com/fsx/.

2. Navegue até Sistemas de arquivos e escolha o sistema de arquivos Lustre para o qual você deseja gerenciar o root squash.

3. Em Ações, escolha Atualizar root squash. Ou, no painel Resumo, escolha Atualizar ao lado do campo Root Squash do sistema de arquivos para exibir a caixa de diálogo Atualizar configurações do Root Squash.

4. Para o Root Squash, atualize o usuário e o grupo IDs com os quais o usuário root pode acessar o sistema de arquivos. Você pode especificar qualquer número inteiro no intervalo de 0 -4294967294. Para desativar o root squash, especifique 0 (zero) para ambosIDs.

   1. Em ID do usuário, especifique o ID do usuário para o usuário root usar.

   2. Em ID do grupo, especifique a ID do grupo a ser usada pelo usuário raiz.

5. Para exceções ao Root Squash, faça o seguinte:

   1. Escolha Adicionar endereço do cliente.

   2. No campo Endereços do cliente, especifique o endereço IP de um cliente ao qual o root squash não se aplica,

   3. Repita conforme necessário para adicionar mais endereços IP do cliente.

6. Selecione Atualizar.

   nota

   Se o root squash estiver ativado e você quiser desativá-lo, escolha Desativar em vez de executar as etapas 4 a 6.

Você pode monitorar o progresso da atualização na página de detalhes dos sistemas de arquivos na guia Atualizações.

Para atualizar as configurações do root squash em um sistema de arquivos existente () CLI

Para atualizar as configurações do root squash de um sistema de arquivos existente FSx do Lustre, use o AWS CLI comando. update-file-system A API operação correspondente é UpdateFileSystem.

Defina os seguintes parâmetros:

• Defina --file-system-id como o ID do sistema de arquivos que está sendo atualizado.

• Defina as opções --lustre-configuration RootSquashConfiguration desta forma:

  • RootSquash— Defina a separação por dois pontosUID: GID valores que especificam o ID do usuário e o ID do grupo para o usuário root usar. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294 (0 é raiz) para cada ID. Para desativar o root squash, especifique 0:0 os GID valoresUID:.

  • NoSquashNids— Especifique os identificadores de rede Lustre (NIDs) dos clientes aos quais o root squash não se aplica. Use [] para remover todos os clientesNIDs, o que significa que não haverá exceções ao root squash.

Esse comando especifica que o root squash é habilitado usando 65534 como valor para o ID do usuário e o ID do grupo do usuário raiz.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Se o comando for bem-sucedido, o Amazon FSx for Lustre retornará a resposta no JSON formato.

Você pode visualizar as configurações do root squash do seu sistema de arquivos no painel Resumo da página de detalhes do sistema de arquivos no FSx console da Amazon ou na resposta de um describe-file-systemsCLIcomando (a API ação equivalente é DescribeFileSystems).