Lustre ルートスカッシュ - FSx Lustre 用
ルートスカッシュの仕組みルートスカッシュの管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lustre ルートスカッシュ

ルートスカッシュは、現在のネットワークベースのアクセスコントロールとファイルアクセス許可に加えて、POSIXファイルアクセスコントロールのレイヤーを追加する管理機能です。ルートスカッシュ機能を使用すると、 for FSx Lustre ファイルシステムにルートとしてアクセスしようとするクライアントからのルートレベルのアクセスを制限できます。

FSx for Lustre ファイルシステムに対するアクセス許可の管理など、管理アクションを実行するには、ルートユーザーのアクセス許可が必要です。ただし、ルートアクセスでは、ユーザーに無制限のアクセス権を付与されます。また、ファイルシステムオブジェクトへのアクセス、変更、または削除に関するパーミッションチェックを、バイパスすることも可能になります。ルートスカッシュ機能を使用すると、ファイルシステムの非ルートユーザー ID (UID) とグループ ID (GID) を指定することで、データの不正アクセスや削除を防ぐことができます。ファイルシステムにアクセスするルートユーザーは、低い権限が指定されたユーザーやグループに自動的に変換され、ストレージ管理者が設定する制限付きの権限を使用します。

ルートスカッシュ機能では、ルートスカッシュ設定の影響を受けないクライアントのリストを、オプションで設定することもできます。これらのクライアントは、権限に制限なく、ルートとしてファイルシステムにアクセスできます。

ルートスカッシュの仕組み

ルートスカッシュ機能は、ルートユーザーのユーザー ID (UID) とグループ ID (GID) を に再マッピングUIDし、Lustre システム管理者によってGID指定された に再マッピングすることで機能します。ルートスカッシュ機能では、オプションで UID/GID 再マッピングが適用されないクライアントのセットを指定することもできます。

FSx Lustre ファイルシステムの新しい を作成すると、ルートスカッシュはデフォルトで無効になります。for FSx Lustre ファイルシステムの UIDおよび ルートスカッシュ設定を構成することでGID、ルートスカッシュを有効にします。UID および GID値は、 0 から までの整数です4294967294

  • UID および のゼロ以外の値は、ルートスカッシュGIDを有効にします。UID と GIDの値は異なる場合がありますが、それぞれゼロ以外の値である必要があります。

  • UID と の値はルートGIDを示す0ため、ルートスカッシュを無効にします (ゼロ)。

ファイルシステムの作成中に、「」に示すように、Amazon FSxコンソールを使用してルートスカッシュUIDとGID値をルートスカッシュプロパティに指定できますファイルシステムの作成時にルートスカッシュを有効にするには (コンソール)。 AWS CLI または で RootSquashパラメータを使用して、 に示すように UIDおよび GID値APIを指定することもできますファイルシステムの作成時にルートスカッシュを有効にするには (CLI)

オプションで、ルートスカッシュが適用されないクライアントNIDsのリストを指定することもできます。クライアントNIDは、クライアントを一意に識別するために使用される Lustre ネットワーク識別子です。は、単一のアドレスまたはアドレスの範囲NIDとして指定できます。

  • 1 つのアドレスは、クライアントの IP アドレスとそれに続く Lustre ネットワーク ID (例: ) を指定することで、標準の Lustre NID形式で記述されます10.0.1.6@tcp

  • アドレス範囲は、範囲の区切りにダッシュを使用して記述します (例えば 10.0.[2-10].[1-255]@tcp)。

  • クライアント を指定しない場合NIDs、ルートスカッシュに例外はありません。

ファイルシステムを作成または更新するときは、Amazon FSxコンソールの「ルートスカッシュに対する例外」プロパティを使用して、クライアント のリストを提供できますNIDs。 AWS CLI または でAPI、 NoSquashNidsパラメータを使用します。詳細については、「ルートスカッシュの管理」の手順を参照してください。

ルートスカッシュの管理

ファイルシステムの作成中、デフォルトでは、ルートスカッシュは無効になっています。Amazon FSxコンソール、、 AWS CLIまたは から新しい Amazon FSx for Lustre ファイルシステムを作成するときに、ルートスカッシュを有効にできますAPI。

  1. で Amazon FSxコンソールを開きますhttps://console.aws.amazon.com/fsx/

  2. 開始方法 セクションの「ステップ 1: FSx for Lustre ファイルシステムを作成する」で説明されている新しいファイルシステムを作成する手順に従います。

  3. [ルートスカッシュ - オプション] セクションを開きます。

  4. ルートスカッシュ IDsでは、ルートユーザーがファイルシステムにアクセスできるユーザーとグループを指定します。14294967294 の範囲の任意の整数を次のように指定できます。

    1. [ユーザー ID] には、ルートユーザーが使用するユーザー ID を指定します。

    2. [グループ ID] には、ルートユーザーが使用するグループ ID を指定します。

  5. (オプション) [ルートスカッシュの例外] については、次のようにします。

    1. [クライアントのアドレスを追加] を選択します。

    2. [クライアントのアドレス] フィールドに、ルートスカッシュが適用されないクライアントの IP アドレスを指定します。IP アドレスの形式については、「ルートスカッシュの仕組み」を参照してください。

    3. 必要に応じて繰り返し、クライアントの IP アドレスをさらに追加します。

  6. 新しいファイルシステムを作成する場合と同様に、ウィザードを完了します。

  7. レビューと作成 を選択します。

  8. Amazon FSx for Lustre ファイルシステム用に選択した設定を確認し、ファイルシステムの作成 を選択します。

ファイルシステムが [利用可能] になると、ルートスカッシュが有効になります。

  • ルートスカッシュを有効にして FSx for Lustre ファイルシステムを作成するには、 RootSquashConfigurationパラメータcreate-file-systemを指定して Amazon FSx CLI コマンドを使用します。対応するAPIオペレーションは ですCreateFileSystem

    RootSquashConfiguration パラメータでは、以下のオプションを設定します。

    • RootSquash - コロンで区切られた UID:GID 使用するルートユーザーのユーザー ID とグループ ID を指定する値。04294967294 の範囲内であれば、それぞれの ID のために任意の整数 (0 はルート) を指定できます (例えば 65534:65534)。

    • NoSquashNids — ルートスカッシュが適用されないクライアントの Lustre ネットワーク識別子 (NIDs) を指定します。クライアントNID形式の詳細については、「」を参照してくださいルートスカッシュの仕組み

    次の例では、ルートスカッシュを有効にして FSx for Lustre ファイルシステムを作成します。

    $ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2

ファイルシステムが正常に作成されると、次の例に示すようにJSON、Amazon はファイルシステムの説明を としてFSx返します。

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Amazon FSxコンソール、、または を使用して AWS CLI、既存のファイルシステムのルートスカッシュ設定を更新することもできますAPI。例えば、ルートスカッシュUIDとGID値の変更、クライアント の追加または削除NIDs、ルートスカッシュの無効化を行うことができます。

  1. で Amazon FSxコンソールを開きますhttps://console.aws.amazon.com/fsx/

  2. [ファイルシステム] に移動し、ルートスカッシュ管理の対象にする Lustre ファイルシステムを選択します。

  3. [アクション][ルートスカッシュを更新] を選択します。または、[概要] パネルで、ファイルシステムの [ルートスカッシュ] フィールドの横にある [更新] を選択して、[ルートスカッシュ設定を更新] ダイアログボックスを表示します。

  4. ルートスカッシュ IDsでは、ルートユーザーがファイルシステムにアクセスできるユーザーとグループを更新します。04294967294 の範囲の任意の整数を指定できます。ルートスカッシュを無効にするには、両方の に 0 (ゼロ) を指定しますIDs。

    1. [ユーザー ID] には、ルートユーザーが使用するユーザー ID を指定します。

    2. [グループ ID] には、ルートユーザーが使用するグループ ID を指定します。

  5. [ルートスカッシュの例外] では、次の操作を行います。

    1. [クライアントのアドレスを追加] を選択します。

    2. [クライアントのアドレス] フィールドに、ルートスカッシュが適用されないクライアントの IP アドレスを指定します。

    3. 必要に応じて繰り返し、クライアントの IP アドレスをさらに追加します。

  6. [Update] (更新) を選択します。

    注記

    ルートスカッシュが有効になっていて無効にする場合は、ステップ 4~6 を実行しないで [無効化] を選択します。

[Updates] (更新) タブのファイルシステムの詳細ページで更新の進行状況をモニタリングできます。

Lustre ファイルシステムの既存の FSxのルートスカッシュ設定を更新するには、 AWS CLI コマンド を使用しますupdate-file-system。対応するAPIオペレーションは ですUpdateFileSystem

以下のパラメータを設定します。

  • --file-system-id を更新するファイルシステムの ID に設定します。

  • 以下のように --lustre-configuration RootSquashConfiguration オプションを設定します。

    • RootSquash – 使用するルートユーザーのユーザー ID とグループ ID を指定するコロン区切りの UID:GID 値を設定します。それぞれの ID には、04294967294 の範囲内であれば任意の整数 (0 はルート) を指定できます。ルートスカッシュを無効にするには、UID:GID 値0:0に を指定します。

    • NoSquashNids — ルートスカッシュが適用されないクライアントの Lustre ネットワーク識別子 (NIDs) を指定します。[] を使用してすべてのクライアント を削除します。つまりNIDs、ルートスカッシュに例外はありません。

このコマンドでは、65534 をルートユーザーのユーザー ID とグループ ID の値として使用することで、ルートスカッシュの有効化を指定しています。

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

コマンドが成功すると、Amazon FSx for Lustre はレスポンスを JSON 形式で返します。

ファイルシステムのルートスカッシュ設定は、Amazon FSxコンソールのファイルシステムの詳細ページのサマリーパネルまたはdescribe-file-systemsCLIコマンドのレスポンスで表示できます (同等のAPIアクションは ですDescribeFileSystems)。