Lustre root squash - FSxpara Lustre
Cómo funciona Root SquashAdministración de root squash

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lustre root squash

Root Squash es una función administrativa que añade una capa adicional de control de acceso a los archivos además del control de acceso y los permisos de POSIX archivos actuales basados en la red. Con la función root squash, puede restringir el acceso a nivel root de los clientes que intenten acceder a su sistema FSx de archivos de Lustre como root.

Los permisos de usuario root son necesarios para realizar acciones administrativas, como gestionar los permisos de los sistemas de archivos FSx de Lustre. Sin embargo, el acceso raíz proporciona acceso sin restricciones a los usuarios, permitiéndoles saltarse las comprobaciones de permisos para acceder, modificar o borrar objetos del sistema de archivos. Con la función root squash, puede evitar el acceso no autorizado o la eliminación de datos especificando un ID de usuario no root (UID) y un ID de grupo (GID) para su sistema de archivos. Los usuarios raíz que accedan al sistema de archivos se convertirán automáticamente en el usuario/grupo especificado con menos privilegios y con permisos limitados establecidos por el administrador del almacenamiento.

La característica root squash también permite, de forma opcional, proporcionar una lista de clientes a los que no afecta la configuración de root squash. Estos clientes pueden acceder al sistema de archivos como raíz, con privilegios sin restricciones.

Cómo funciona Root Squash

La función root squash funciona reasignando el ID de usuario (UID) y el ID de grupo (GID) del usuario root a uno GID especificado por el administrador del sistema Lustre. UID La función root squash también permite especificar, de forma opcional, un conjunto de clientes a los que no se aplica la GID reasignación deUID/.

Al crear un nuevo sistema de archivos FSx para Lustre, root squash está deshabilitado de forma predeterminada. Para activar el root squash, configure un ajuste UID de GID root squash FSx para su sistema de archivos de Lustre. Los GID valores UID y son números enteros que pueden 0 oscilar entre: 4294967294

  • Un valor distinto de cero para el zapallo raíz UID y lo GID habilita. GIDLos valores UID y pueden ser diferentes, pero cada uno debe ser un valor distinto de cero.

  • El valor 0 (cero) GID indica la raíz UID y, por lo tanto, desactiva el zapallo.

Durante la creación del sistema de archivos, puedes usar la FSx consola de Amazon para proporcionar la raíz squash UID y GID los valores de la propiedad Root Squash, como se muestra enPara habilitar root squash al crear un sistema de archivos (consola). También puede usar el RootSquash parámetro con AWS CLI o API para proporcionar los GID valores UID y, como se muestra enPara habilitar root squash al crear un sistema de archivos (CLI).

Si lo desea, también puede especificar una lista NIDs de clientes a los que no se aplica root squash. Un cliente NID es un identificador de red de Lustre que se utiliza para identificar de forma exclusiva a un cliente. Puede especificarlo NID como una dirección única o como un rango de direcciones:

  • Para describir una dirección única en el NID formato estándar de Lustre, se especifica la dirección IP del cliente seguida del ID de red de Lustre (por ejemplo,10.0.1.6@tcp).

  • Un rango de direcciones se describe utilizando un guion para separar el rango (por ejemplo, 10.0.[2-10].[1-255]@tcp).

  • Si no especificas ningún clienteNIDs, no habrá excepciones para root squash.

Al crear o actualizar tu sistema de archivos, puedes usar la propiedad Exceptions to Root Squash de la FSx consola de Amazon para proporcionar la lista de clientesNIDs. En AWS CLI oAPI, utilice el NoSquashNids parámetro. Para obtener más información, consulte los procedimientos enAdministración de root squash.

Administración de root squash

Durante la creación del sistema de archivos, el root squash está deshabilitado de forma predeterminada. Puede activar root squash al crear un nuevo sistema de archivos Amazon FSx for Lustre desde la FSx consola de Amazon AWS CLI, oAPI.

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. Siga el procedimiento para crear un nuevo sistema de archivos que se describe en Paso 1: Cree su sistema de FSx archivos para Lustre en la sección Primeros pasos.

  3. Abre la sección Root Squash (opcional).

  4. En el caso de Root Squash, indique el usuario y el grupo IDs con los que el usuario root puede acceder al sistema de archivos. Puede especificar cualquier número entero en el rango de 14294967294:

    1. En el campo ID de usuario, especifique el ID de usuario que utilizará el usuario raíz.

    2. En el caso del ID de grupo, especifique el ID de grupo que utilizará el usuario raíz.

  5. (Opcional) Para las excepciones a Root Squash, haga lo siguiente:

    1. Seleccione Añadir dirección de cliente.

    2. En el campo Direcciones de los clientes, especifique la dirección IP de un cliente al que no se aplica root squash. Para obtener información sobre el formato de la dirección IP, consulteCómo funciona Root Squash.

    3. Repita el procedimiento según sea necesario para añadir más direcciones IP de clientes.

  6. Complete el asistente igual que cuando crea un nuevo sistema de archivos.

  7. Elija Review and create.

  8. Revisa la configuración que has elegido para el sistema de archivos de Amazon FSx for Lustre y, a continuación, selecciona Crear sistema de archivos.

Cuando el sistema de archivos está disponible, root squash está activado.

  • Para crear un sistema de archivos FSx para Lustre con root squash activado, utilice el FSx CLI comando Amazon create-file-systemcon el RootSquashConfiguration parámetro. La API operación correspondiente es CreateFileSystem.

    En el parámetro RootSquashConfiguration, elija las siguientes opciones:

    • RootSquash— Los separados por dos puntosUID: GID valores que especifican el ID de usuario y el ID de grupo que debe utilizar el usuario raíz. Puede especificar cualquier número entero en el rango de 0-4294967294 (0 es raíz) para cada ID (por ejemplo, 65534:65534).

    • NoSquashNids— Especifique los identificadores de red Lustre (NIDs) de los clientes a los que no se aplica root squash. Para obtener información sobre el NID formato del cliente, consulte. Cómo funciona Root Squash

    El siguiente ejemplo crea un sistema de archivos FSx para Lustre con root squash activado:

    $ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2

Tras crear correctamente el sistema de archivos, Amazon FSx devuelve la descripción del sistema de archivos tal JSON y como se muestra en el siguiente ejemplo.

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

También puedes actualizar la configuración de root squash de tu sistema de archivos actual mediante la FSx consola de Amazon AWS CLI, oAPI. Por ejemplo, puedes cambiar la raíz UID y sus GID valores, añadir o eliminar un cliente NIDs o deshabilitar la raíz squash.

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. Ve a Sistemas de archivos y elige el sistema de archivos Lustre para el que quieres gestionar root squash.

  3. En Acciones, selecciona Actualizar calabacines. O bien, en el panel de resumen, seleccione Actualizar junto al campo Root Squash del sistema de archivos para que aparezca el cuadro de diálogo Actualizar la configuración de Root Squash.

  4. En el caso de Root Squash, actualice el usuario y el grupo IDs con los que el usuario root puede acceder al sistema de archivos. Puede especificar cualquier número entero en el rango de 04294967294. Para deshabilitar el squash raíz, especifique 0 (cero) para ambosIDs.

    1. En el campo ID de usuario, especifique el ID de usuario que utilizará el usuario root.

    2. En el caso del ID de grupo, especifique el ID de grupo que utilizará el usuario raíz.

  5. Para ver las excepciones a Root Squash, haga lo siguiente:

    1. Elija Agregar dirección de cliente.

    2. En el campo Direcciones de los clientes, especifique la dirección IP de un cliente al que no se aplica root squash,

    3. Repita el procedimiento según sea necesario para añadir más direcciones IP de clientes.

  6. Elija Actualizar.

    nota

    Si la función root squash está habilitada y desea deshabilitarla, elija Desactivar en lugar de realizar los pasos 4 a 6.

Puede supervisar el progreso de la actualización en la página de información de los Sistemas de archivos, en la pestaña Actualizaciones.

Para actualizar la configuración de root squash de un sistema de archivos existente FSx para Lustre, utilice el AWS CLI comando update-file-system. La API operación correspondiente es UpdateFileSystem.

Establezca los siguientes parámetros:

  • Establezca --file-system-id en el ID del sistema de archivos que va a actualizar.

  • Establezca las opciones --lustre-configuration RootSquashConfiguration de la siguiente manera:

    • RootSquash— Defina los GID valores separados por dos UID puntos que especifican el ID de usuario y el ID de grupo que debe utilizar el usuario root. Puede especificar cualquier número entero en el rango de 04294967294 (0 es raíz) para cada ID. Para deshabilitar la calabaza raíz, especifique 0:0 los valoresUID:GID.

    • NoSquashNids— Especifique los identificadores de red de Lustre (NIDs) de los clientes a los que no se aplica root squash. Se usa [] para eliminar todos los clientesNIDs, lo que significa que no habrá excepciones para root squash.

Este comando especifica que root squash está habilitado usando 65534 como valor para el ID de usuario y el ID de grupo del usuario raíz.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Si el comando se ejecuta correctamente, Amazon FSx for Lustre devuelve la respuesta en JSON formato.

Puedes ver la configuración de root squash de tu sistema de archivos en el panel Resumen de la página de detalles del sistema de archivos de la FSx consola de Amazon o en respuesta a un describe-file-systemsCLIcomando (la API acción equivalente es DescribeFileSystems).