Lustre-Wurzelkürbis - FSxfür Lustre
Wie funktioniert Root SquashWurzelkürbis verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lustre-Wurzelkürbis

Root Squash ist eine Verwaltungsfunktion, die zusätzlich zu den aktuellen netzwerkbasierten Zugriffskontrollen und Dateiberechtigungen eine zusätzliche Ebene der POSIX Dateizugriffskontrolle hinzufügt. Mithilfe der Root-Squash-Funktion können Sie den Zugriff auf Root-Ebene für Clients einschränken, die versuchen, als Root auf Ihr FSx for Lustre-Dateisystem zuzugreifen.

Root-Benutzerberechtigungen sind erforderlich, um administrative Aktionen durchzuführen, z. B. die Verwaltung von Berechtigungen FSx für Lustre-Dateisysteme. Der Root-Zugriff bietet den Benutzern jedoch uneingeschränkten Zugriff, sodass sie Berechtigungsprüfungen umgehen können, um auf Dateisystemobjekte zuzugreifen, sie zu ändern oder zu löschen. Mithilfe der Root-Squash-Funktion können Sie den unbefugten Zugriff auf oder das Löschen von Daten verhindern, indem Sie eine Benutzer-ID (UID) und Gruppen-ID (GID) für Ihr Dateisystem angeben, die kein Root-Konto sind. Root-Benutzer, die auf das Dateisystem zugreifen, werden automatisch in den angegebenen Benutzer/die Gruppe mit eingeschränkten Rechten umgewandelt, die vom Speicheradministrator festgelegt werden.

Mit der Root-Squash-Funktion können Sie optional auch eine Liste von Clients bereitstellen, die von der Root-Squash-Einstellung nicht betroffen sind. Diese Clients können als Root-Benutzer mit uneingeschränkten Rechten auf das Dateisystem zugreifen.

Wie funktioniert Root Squash

Die Root-Squash-Funktion funktioniert, indem sie die Benutzer-ID (UID) und die Gruppen-ID (GID) des Root-Benutzers einer vom UID Lustre-Systemadministrator GID angegebenen Zahl neu zuordnen. Mit der Root-Squash-Funktion können Sie optional auch eine Gruppe von Clients angeben, für dieUID/GIDre-mapping nicht gilt.

Wenn Sie ein neues Dateisystem FSx für Lustre erstellen, ist Root-Squash standardmäßig deaktiviert. Sie aktivieren Root-Squash, indem Sie eine UID GID Root-Squash-Einstellung für Ihr FSx for Lustre-Dateisystem konfigurieren. Die GID Werte UID und sind ganze Zahlen, die zwischen und liegen können: 0 4294967294

  • Ein Wert ungleich Null für Root UID Squash und GID aktiviert diesen. Die GID Werte UID und können unterschiedlich sein, aber jeder Wert muss ungleich Null sein.

  • Ein Wert von 0 (Null) steht für Root UID und GID steht für Root und deaktiviert daher Root Squash.

Während der Erstellung des Dateisystems können Sie die FSx Amazon-Konsole verwenden, um den Root-Squash UID und die GID Werte in der Root-Squash-Eigenschaft bereitzustellen, wie unter gezeigt. Um Root Squash beim Erstellen eines Dateisystems (Konsole) zu aktivieren Sie können den RootSquash Parameter auch zusammen mit AWS CLI oder verwendenAPI, um die GID Werte UID und anzugeben, wie unter gezeigt. Um Root-Squash beim Erstellen eines Dateisystems zu aktivieren () CLI

Optional können Sie auch eine Liste NIDs von Clients angeben, für die Root Squash nicht gilt. Ein Client NID ist ein Lustre-Netzwerkbezeichner, der zur eindeutigen Identifizierung eines Clients verwendet wird. Sie können entweder eine einzelne Adresse oder einen Adressbereich angeben: NID

  • Eine einzelne Adresse wird im NID Standard-Lustre-Format beschrieben, indem die IP-Adresse des Clients gefolgt von der Lustre-Netzwerk-ID angegeben wird (z. B.10.0.1.6@tcp).

  • Ein Adressbereich wird beschrieben, indem der Bereich durch einen Bindestrich getrennt wird (z. B.10.0.[2-10].[1-255]@tcp).

  • Wenn Sie keinen Client angebenNIDs, gibt es keine Ausnahmen für Root Squash.

Wenn Sie Ihr Dateisystem erstellen oder aktualisieren, können Sie die Eigenschaft Exceptions to Root Squash in der FSx Amazon-Konsole verwenden, um die Liste der Clients NIDs bereitzustellen. Verwenden Sie im API Feld AWS CLI oder den NoSquashNids Parameter. Weitere Informationen finden Sie in den Verfahren unterWurzelkürbis verwalten.

Wurzelkürbis verwalten

Bei der Erstellung des Dateisystems ist Root-Squash standardmäßig deaktiviert. Sie können Root Squash aktivieren, wenn Sie ein neues Amazon FSx for Lustre-Dateisystem von der FSx Amazon-Konsole aus erstellen, AWS CLI, oder. API

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Folgen Sie dem Verfahren zum Erstellen eines neuen Dateisystems, das Schritt 1: Erstellen Sie Ihr FSx for Lustre-Dateisystem im Abschnitt Erste Schritte beschrieben ist.

  3. Öffnen Sie den Abschnitt Root Squash — optional.

  4. Geben Sie für Root Squash den Benutzer und die Gruppe an, IDs mit denen der Root-Benutzer auf das Dateisystem zugreifen kann. Sie können eine beliebige ganze Zahl im Bereich von 14294967294 angeben:

    1. Geben Sie unter Benutzer-ID die Benutzer-ID an, die der Root-Benutzer verwenden soll.

    2. Geben Sie unter Gruppen-ID die Gruppen-ID an, die der Root-Benutzer verwenden soll.

  5. (Optional) Gehen Sie für Ausnahmen von Root Squash wie folgt vor:

    1. Wählen Sie „Kundenadresse hinzufügen“.

    2. Geben Sie im Feld Clientadressen die IP-Adresse eines Clients an, für den Root Squash nicht gilt. Informationen zum IP-Adressformat finden Sie unterWie funktioniert Root Squash.

    3. Wiederholen Sie den Vorgang nach Bedarf, um weitere Client-IP-Adressen hinzuzufügen.

  6. Führen Sie den Assistenten genauso aus, wie Sie es beim Erstellen eines neuen Dateisystems tun.

  7. Wählen Sie Review and create.

  8. Überprüfen Sie die Einstellungen, die Sie für Ihr Amazon FSx for Lustre-Dateisystem ausgewählt haben, und wählen Sie dann Dateisystem erstellen.

Wenn das Dateisystem verfügbar ist, ist Root-Squash aktiviert.

  • Um ein FSx for Lustre-Dateisystem mit aktiviertem Root-Squash zu erstellen, verwenden Sie den FSx CLI Amazon-Befehl create-file-systemmit dem RootSquashConfiguration Parameter. Die entsprechende API Operation ist. CreateFileSystem

    Stellen Sie für den RootSquashConfiguration Parameter die folgenden Optionen ein:

    • RootSquash— Die durch Doppelpunkte getrennten GID WerteUID: Werte, die die Benutzer-ID und die Gruppen-ID angeben, die der Root-Benutzer verwenden soll. Sie können für jede ID eine ganze Zahl im Bereich von 04294967294 (0 ist Stamm) angeben (z. B.65534:65534).

    • NoSquashNids— Geben Sie die Lustre-Netzwerkkennungen (NIDs) von Clients an, für die Root Squash nicht gilt. Informationen zum NID Client-Format finden Sie unter. Wie funktioniert Root Squash

    Im folgenden Beispiel wird ein FSx for Lustre-Dateisystem mit aktiviertem Root-Squash erstellt:

    $ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2

Nach erfolgreicher Erstellung des Dateisystems FSx gibt Amazon die Dateisystembeschreibung als zurückJSON, wie im folgenden Beispiel gezeigt.

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Sie können die Root-Squash-Einstellungen Ihres vorhandenen Dateisystems auch über die FSx Amazon-Konsole aktualisieren, AWS CLI, oderAPI. Sie können beispielsweise den Root-Squash UID und die GID Werte ändern, einen Client hinzufügen oder entfernen oder NIDs Root-Squash deaktivieren.

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Navigieren Sie zu Dateisysteme und wählen Sie das Lustre-Dateisystem aus, für das Sie Root-Squash verwalten möchten.

  3. Wählen Sie unter Aktionen die Option Root-Squash aktualisieren aus. Oder wählen Sie im Übersichtsfenster neben dem Root-Squash-Feld des Dateisystems die Option „Aktualisieren“, um das Dialogfeld „Root-Squash-Einstellungen aktualisieren“ zu öffnen.

  4. Aktualisieren Sie für Root Squash den Benutzer und die Gruppe, IDs mit denen der Root-Benutzer auf das Dateisystem zugreifen kann. Sie können eine beliebige ganze Zahl im Bereich von 04294967294 angeben. Um Root Squash zu deaktivieren, geben Sie 0 (Null) für beide IDs an.

    1. Geben Sie unter Benutzer-ID die Benutzer-ID an, die der Root-Benutzer verwenden soll.

    2. Geben Sie unter Gruppen-ID die Gruppen-ID an, die der Root-Benutzer verwenden soll.

  5. Gehen Sie für Ausnahmen von Root Squash wie folgt vor:

    1. Wählen Sie „Kundenadresse hinzufügen“.

    2. Geben Sie im Feld Clientadressen die IP-Adresse eines Clients an, für den Root Squash nicht gilt.

    3. Wiederholen Sie den Vorgang nach Bedarf, um weitere Client-IP-Adressen hinzuzufügen.

  6. Wählen Sie Aktualisieren.

    Anmerkung

    Wenn Root Squash aktiviert ist und Sie es deaktivieren möchten, wählen Sie Deaktivieren, anstatt die Schritte 4-6 auszuführen.

Sie können den Aktualisierungsfortschritt auf der Detailseite der Dateisysteme auf der Registerkarte Updates überwachen.

Verwenden Sie den Befehl, um die Root-Squash-Einstellungen für ein vorhandenes FSx for Lustre-Dateisystem zu aktualisieren. AWS CLI update-file-system Die entsprechende API Operation ist. UpdateFileSystem

Legen Sie die folgenden Parameter fest:

  • Geben --file-system-id Sie die ID des Dateisystems ein, das Sie aktualisieren.

  • Stellen Sie die --lustre-configuration RootSquashConfiguration Optionen wie folgt ein:

    • RootSquash— Legen Sie die durch Doppelpunkte getrennten UID GID Werte fest, die die Benutzer-ID und die Gruppen-ID angeben, die der Root-Benutzer verwenden soll. Sie können für jede ID eine ganze Zahl im Bereich von 04294967294 (0 ist Stamm) angeben. Um Root-Squash zu deaktivieren, geben Sie 0:0 für die folgenden GID WerteUID: an.

    • NoSquashNids— Geben Sie die Lustre-Netzwerkkennungen (NIDs) von Clients an, für die Root-Squash nicht gilt. Wird verwendet[], um alle Clients zu entfernenNIDs, was bedeutet, dass es keine Ausnahmen für Root-Squash gibt.

Dieser Befehl gibt an, dass Root-Squash aktiviert ist, indem er 65534 als Wert für die Benutzer-ID und Gruppen-ID des Root-Benutzers verwendet wird.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Wenn der Befehl erfolgreich ist, gibt Amazon FSx for Lustre die Antwort im JSON Format zurück.

Sie können die Root-Squash-Einstellungen Ihres Dateisystems im Übersichtsbereich der Dateisystemdetailseite auf der FSx Amazon-Konsole oder in der Antwort auf einen describe-file-systemsCLIBefehl einsehen (die entsprechende API Aktion ist DescribeFileSystems).