Lustre root squash - FSx para Lustre

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lustre root squash

Root squash es una característica administrativa que agrega una capa adicional de control de acceso a archivos sobre el actual control de acceso basado en red y los permisos de archivos POSIX. Con la función root squash, puede restringir el acceso a nivel root de los clientes que intenten acceder a su sistema FSx de archivos de Lustre como root.

Los permisos de usuario root son necesarios para realizar acciones administrativas, como gestionar los permisos de los sistemas de archivos FSx de Lustre. Sin embargo, el acceso raíz proporciona acceso sin restricciones a los usuarios, permitiéndoles saltarse las comprobaciones de permisos para acceder, modificar o borrar objetos del sistema de archivos. Con la característica root squash, puede evitar el acceso no autorizado o la eliminación de datos especificando un ID de usuario (UID) y un ID de grupo (GID) que no sean raíz para su sistema de archivos. Los usuarios raíz que accedan al sistema de archivos se convertirán automáticamente en el usuario/grupo especificado con menos privilegios y con permisos limitados establecidos por el administrador del almacenamiento.

La característica root squash también permite, de forma opcional, proporcionar una lista de clientes a los que no afecta la configuración de root squash. Estos clientes pueden acceder al sistema de archivos como raíz, con privilegios sin restricciones.

Cómo funciona Root Squash

La función root squash funciona reasignando el ID de usuario (UID) y el ID de grupo (GID) del usuario root a un UID y un GID especificados por el Lustre administrador del sistema. La característica root squash también permite especificar, de forma opcional, un conjunto de clientes a los que no se aplica la reasignación de UID/GID.

Al crear un nuevo sistema de archivos FSx para Lustre, root squash está deshabilitado de forma predeterminada. Para activar el root squash, configure una configuración de root squash de UID y GID FSx para su sistema de archivos de Lustre. Los valores UID y GID son números enteros que pueden oscilar entre 0 y 4294967294:

  • Un valor distinto de cero para UID y GID habilita el root squash. Los valores UID y GID pueden ser diferentes, pero cada uno debe ser un valor distinto de cero.

  • Un valor de 0 (cero) para UID y GID indica raíz, y por lo tanto desactiva la característica root squash.

Durante la creación del sistema de archivos, puede utilizar la FSx consola de Amazon para proporcionar los valores UID y GID de root squash en la propiedad Root Squash, como se muestra en. Para habilitar la característica root squash al crear un sistema de archivos (consola) También puede usar el RootSquash parámetro con la API AWS CLI o para proporcionar los valores de UID y GID, como se muestra en. Para habilitar la característica root squash al crear un sistema de archivos (CLI)

Si lo desea, también puede especificar una lista NIDs de clientes a los que no se aplica root squash. Un NID de cliente es un Lustre Identificador de red utilizado para identificar de forma exclusiva a un cliente. Puede especificar el NID como una dirección única o como un rango de direcciones:

  • Una dirección única se describe en el estándar Lustre Formatee el NID especificando la dirección IP del cliente seguida de Lustre ID de red (por ejemplo,10.0.1.6@tcp).

  • Un rango de direcciones se describe utilizando un guion para separar el rango (por ejemplo, 10.0.[2-10].[1-255]@tcp).

  • Si no especificas ningún cliente NIDs, no habrá excepciones para root squash.

Al crear o actualizar tu sistema de archivos, puedes usar la propiedad Exceptions to Root Squash de la FSx consola de Amazon para proporcionar la lista de clientes NIDs. En la API AWS CLI o, usa el NoSquashNids parámetro. Para obtener más información, consulte los procedimientos en Administración de root squash.

Administración de root squash

De forma predeterminada, root squash está deshabilitada durante la creación de sistemas de archivos. Puede activar root squash al crear un nuevo sistema de archivos Amazon FSx for Lustre desde la FSx consola o API de Amazon. AWS CLI

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. Siga el procedimiento para crear un nuevo sistema de archivos que se describe en Paso 1: Cree su sistema de FSx archivos para Lustre en la sección Primeros pasos.

  3. Abra la sección Root Squash: opcional.

  4. En el caso de Root Squash, proporciona el usuario y el grupo IDs con los que el usuario root puede acceder al sistema de archivos. Puede especificar cualquier número entero en el rango de 1 a 4294967294:

    1. Para identificador de usuario, especifique el identificador de usuario que debe usar el usuario raíz.

    2. Para identificador de grupo, especifique el identificador de grupo que debe usar el usuario raíz.

  5. (Opcional) Para las excepciones a Root Squash, haga lo siguiente:

    1. Seleccione Agregar dirección de cliente.

    2. En el campo Direcciones de los clientes, especifique la dirección IP de un cliente al que no se aplica root squash. Para obtener información sobre el formato de la dirección IP, consulte Cómo funciona Root Squash.

    3. Repita el procedimiento según sea necesario para agregar más direcciones IP de clientes.

  6. Complete el asistente igual que cuando crea un nuevo sistema de archivos.

  7. Elija Review and create.

  8. Revisa la configuración que has elegido para el sistema de archivos de Amazon FSx for Lustre y, a continuación, selecciona Crear sistema de archivos.

Cuando el sistema de archivos está disponible, root squash está activada.

  • Para crear un sistema de archivos FSx para Lustre con root squash activado, utilice el comando Amazon FSx CLI create-file-systemcon el RootSquashConfiguration parámetro. La operación de API correspondiente es CreateFileSystem.

    En el parámetro RootSquashConfiguration, elija las siguientes opciones:

    • RootSquash: Los valores UID:GID separados por dos puntos que especifican el ID de usuario y el ID de grupo que debe utilizar el usuario raíz. Puede especificar cualquier número entero en el rango de 0-4294967294 (0 es raíz) para cada ID (por ejemplo, 65534:65534).

    • NoSquashNids— Especifique el Lustre Identificadores de red (NIDs) de los clientes a los que no se aplica root squash. Para obtener información sobre el formato de NID del cliente, consulte Cómo funciona Root Squash.

    El siguiente ejemplo crea un sistema de archivos FSx para Lustre con root squash activado:

    $ aws fsx create-file-system \ --client-request-token CRT1234 \ --file-system-type LUSTRE \ --file-system-type-version 2.15 \ --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\ RootSquashConfiguration={RootSquash="65534:65534",\ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \ --storage-capacity 2400 \ --subnet-ids subnet-123456 \ --tags Key=Name,Value=Lustre-TEST-1 \ --region us-east-2

Tras crear correctamente el sistema de archivos, Amazon FSx devuelve la descripción del sistema de archivos en formato JSON, como se muestra en el siguiente ejemplo.

{ "FileSystems": [ { "OwnerId": "111122223333", "CreationTime": 1549310341.483, "FileSystemId": "fs-0123456789abcdef0", "FileSystemType": "LUSTRE", "FileSystemTypeVersion": "2.15", "Lifecycle": "CREATING", "StorageCapacity": 2400, "VpcId": "vpc-123456", "SubnetIds": [ "subnet-123456" ], "NetworkInterfaceIds": [ "eni-039fcf55123456789" ], "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com", "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0", "Tags": [ { "Key": "Name", "Value": "Lustre-TEST-1" } ], "LustreConfiguration": { "DeploymentType": "PERSISTENT_2", "DataCompressionType": "LZ4", "PerUnitStorageThroughput": 250, "RootSquashConfiguration": { "RootSquash": "65534:65534", "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp" } } ] }

También puedes actualizar la configuración de root squash de tu sistema de archivos actual mediante la FSx consola o la API de Amazon. AWS CLI Por ejemplo, puedes cambiar los valores de UID y GID de root squash, añadir o eliminar un cliente NIDs o deshabilitar root squash.

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. Ve a Sistemas de archivos y selecciona Lustre sistema de archivos para el que desea administrar root squash.

  3. En Acciones, elija Actualizar root squash. O bien, en el panel de Resumen, seleccione Actualizar junto al campo Root Squash del sistema de archivos para que aparezca el cuadro de diálogo Actualizar configuración de Root Squash.

  4. En el caso de Root Squash, actualice el usuario y el grupo IDs con los que el usuario root puede acceder al sistema de archivos. Puede especificar cualquier número entero en el rango de 0 a 4294967294. Para deshabilitar root squash, especifique 0 (cero) para ambos IDs.

    1. Para identificador de usuario, especifique el identificador de usuario que debe usar el usuario raíz.

    2. Para identificador de grupo, especifique el identificador de grupo que debe usar el usuario raíz.

  5. Para las excepciones a Root Squash, haga lo siguiente:

    1. Seleccione Agregar dirección de cliente.

    2. En el campo Direcciones de clientes, especifique la dirección IP de un cliente al que no se aplica root squash.

    3. Repita el procedimiento según sea necesario para agregar más direcciones IP de clientes.

  6. Elija Actualizar.

    nota

    Si la función root squash está habilitada y desea deshabilitarla, elija Deshabilitar en lugar de realizar los pasos 4 a 6.

Puede supervisar el progreso de la actualización en la página de información de los Sistemas de archivos, en la pestaña Actualizaciones.

Para actualizar la configuración de root squash de un sistema de archivos existente FSx para Lustre, utilice el AWS CLI comando update-file-system. La operación de API correspondiente es UpdateFileSystem.

Establezca los siguientes parámetros:

  • Establezca --file-system-id en el ID del sistema de archivos que va a actualizar.

  • Establezca las opciones --lustre-configuration RootSquashConfiguration de la siguiente manera:

    • RootSquash: Establezca los valores UID:GID separados por dos puntos que especifican el ID de usuario y el ID de grupo que debe utilizar el usuario raíz. Puede especificar cualquier número entero en el rango de 04294967294 (0 es raíz) para cada ID. Para deshabilitar root squash, especifique 0:0 para los valores de UID:GID.

    • NoSquashNids— Especifique el Lustre Identificadores de red (NIDs) de los clientes a los que no se aplica root squash. Se usa [] para eliminar todos los clientes NIDs, lo que significa que no habrá excepciones para root squash.

Este comando especifica que root squash está habilitado usando 65534 como valor para el ID de usuario y el ID de grupo del usuario raíz.

$ aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Si el comando se ejecuta correctamente, Amazon FSx for Lustre devuelve la respuesta en formato JSON.

Puede ver la configuración de root squash de su sistema de archivos en el panel Resumen de la página de detalles del sistema de archivos de la FSx consola de Amazon o en respuesta a un comando de describe-file-systemsCLI (la acción de API equivalente es DescribeFileSystems).