Lustre 루트 스쿼시 - FSx러스터용
루트 스쿼시 작동 방식루트 스쿼시 관리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lustre 루트 스쿼시

루트 스쿼시는 현재 네트워크 기반 액세스 제어 및 POSIX 파일 권한 위에 파일 액세스 제어 계층을 추가하는 관리 기능입니다. 루트 스쿼시 기능을 사용하면 FSx for Lustre 파일 시스템에 루트로 액세스하려는 클라이언트의 루트 수준 액세스를 제한할 수 있습니다.

Lustre 파일 시스템에 FSx 대한 권한 관리와 같은 관리 작업을 수행하려면 루트 사용자 권한이 필요합니다. 그러나 루트 액세스는 사용자에게 무제한 액세스를 제공하므로 사용자는 권한 검사를 우회하여 파일 시스템 객체를 액세스, 수정 또는 삭제할 수 있습니다. 루트 스쿼시 기능을 사용하면 파일 시스템에 루트가 아닌 사용자 ID (UID) 및 그룹 ID (GID) 를 지정하여 데이터에 대한 무단 액세스 또는 삭제를 방지할 수 있습니다. 파일 시스템에 액세스하는 루트 사용자는 스토리지 관리자가 설정한 제한된 권한을 가진 지정된 권한이 없는 사용자/그룹으로 자동 변환됩니다.

또한 루트 스쿼시 기능을 사용하면 루트 스쿼시 설정의 영향을 받지 않는 클라이언트 목록을 제공할 수도 있습니다. 이러한 클라이언트는 무제한 권한으로 루트로 파일 시스템에 액세스할 수 있습니다.

루트 스쿼시 작동 방식

루트 스쿼시 기능은 루트 사용자의 사용자 ID (UID) 및 그룹 ID (GID) 를 Lustre 시스템 관리자가 GID 지정한 UID A에 다시 매핑하는 방식으로 작동합니다. 또한 루트 스쿼시 기능을 사용하면UID/GID재매핑이 적용되지 않는 클라이언트 세트를 선택적으로 지정할 수 있습니다.

Lustre 파일 FSx 시스템용으로 새로 만들면 기본적으로 루트 스쿼시가 비활성화됩니다. Lustre 파일 시스템용 UID 및 GID 루트 스쿼시 설정을 구성하여 루트 스쿼시를 활성화합니다FSx. UID및 GID 값은 다음과 같은 범위의 정수입니다. 0 4294967294

  • 루트 스쿼시를 GID 활성화하는 데 0이 아닌 값을 입력합니다UID. UID및 GID 값은 다를 수 있지만 각각 0이 아닌 값이어야 합니다.

  • UID와 의 0 (0) 값은 루트를 GID 나타내므로 루트 스쿼시가 비활성화됩니다.

파일 시스템 생성 중에 Amazon FSx 콘솔을 사용하여 Root Squash 속성에 루트 UID 스쿼시와 GID 값을 제공할 수 있습니다 (참조). 파일 시스템 생성 시 루트 스쿼시를 활성화하려면 (콘솔) 와 같이 RootSquash 파라미터를 or와 함께 사용하여 UID 및 GID 값을 제공할 수도 있습니다. AWS CLI API 파일 시스템을 만들 때 루트 스쿼시를 활성화하려면 () CLI

선택적으로 루트 스쿼시가 적용되지 않는 클라이언트 NIDs 목록을 지정할 수도 있습니다. NID클라이언트는 클라이언트를 고유하게 식별하는 데 사용되는 Lustre 네트워크 식별자입니다. 를 NID 단일 주소 또는 주소 범위로 지정할 수 있습니다.

  • 단일 주소는 클라이언트의 IP 주소 다음에 Lustre 네트워크 ID (예:) 를 지정하여 표준 Lustre NID 형식으로 설명됩니다. 10.0.1.6@tcp

  • 주소 범위는 대시를 사용하여 범위를 구분하여 설명합니다(예: 10.0.[2-10].[1-255]@tcp).

  • 클라이언트를 지정하지 않는 경우 루트 NIDs 스쿼시에는 예외가 없습니다.

파일 시스템을 생성하거나 업데이트할 때 Amazon FSx 콘솔의 Root Squash Exceptions 속성을 사용하여 클라이언트 NIDs 목록을 제공할 수 있습니다. AWS CLI APIOR에서 NoSquashNids 파라미터를 사용합니다. 자세한 내용은 의 절차를 참조하십시오루트 스쿼시 관리.

루트 스쿼시 관리

파일 시스템 생성 중에는 루트 스쿼시가 기본적으로 비활성화됩니다. Amazon FSx 콘솔, AWS CLI또는 에서 새 Amazon FSx for Lustre 파일 시스템을 생성할 때 루트 스쿼시를 활성화할 수 있습니다. API

  1. 에서 Amazon FSx 콘솔을 엽니다 https://console.aws.amazon.com/fsx/.

  2. 시작하기 섹션의 1단계: FSx Lustre용 파일 시스템 생성 섹션에 설명된 새 파일 시스템 생성 절차를 따릅니다.

  3. 루트 스쿼시 - 옵션 섹션을 엽니다.

  4. 루트 스쿼시의 경우 루트 사용자가 파일 시스템에 액세스할 수 IDs 있는 사용자 및 그룹을 제공하십시오. 14294967294—의 범위 내에서 모든 정수를 지정할 수 있습니다.

    1. 사용자 ID의 경우 루트 사용자가 사용할 사용자 ID를 지정합니다.

    2. 그룹 ID의 경우 루트 사용자가 사용할 그룹 ID를 지정합니다.

  5. (선택 사항) 루트 스쿼시 예외의 경우 다음을 수행하십시오.

    1. 클라이언트 주소 추가를 선택합니다.

    2. 클라이언트 주소 필드에서 루트 스쿼시가 적용되지 않는 클라이언트의 IP 주소를 지정합니다. IP 주소 형식에 대한 자세한 내용은 을 참조하십시오루트 스쿼시 작동 방식.

    3. 필요에 따라 반복하여 클라이언트 IP 주소를 더 추가합니다.

  6. 새 파일 시스템을 생성할 때와 마찬가지로 마법사를 완료합니다.

  7. 검토 및 생성을 선택합니다.

  8. Amazon FSx for Lustre 파일 시스템에 대해 선택한 설정을 검토한 다음 파일 시스템 생성을 선택합니다.

파일 시스템을 사용할 수 있게 되면 루트 스쿼시가 활성화됩니다.

  • 루트 스쿼시가 활성화된 FSx Lustre 파일 시스템을 생성하려면 Amazon FSx CLI 명령을 create-file-system파라미터와 함께 사용하십시오. RootSquashConfiguration 해당 작업은 입니다API. CreateFileSystem

    RootSquashConfiguration 파라미터에 대해 다음 옵션 중 하나를 선택합니다.

    • RootSquash— 콜론으로 구분된UID: GID 값으로, 루트 사용자가 사용할 사용자 ID와 그룹 ID를 지정합니다. 각 ID에 대해 0 - 4294967294(0은 루트) 범위 내의 모든 정수를 지정할 수 있습니다(예: 65534:65534).

    • NoSquashNids— 루트 스쿼시가 적용되지 않는 클라이언트의 Lustre 네트워크 식별자 (NIDs) 를 지정합니다. 클라이언트 NID 형식에 대한 자세한 내용은 을 참조하십시오. 루트 스쿼시 작동 방식

    다음 예제에서는 루트 FSx 스쿼시가 활성화된 Lustre 파일 시스템을 생성합니다.

    $ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2

파일 시스템을 성공적으로 생성한 후 Amazon은 다음 예와 JSON 같이 파일 시스템 설명을 FSx 반환합니다.

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Amazon FSx 콘솔 AWS CLI, 또는 API 를 사용하여 기존 파일 시스템의 루트 스쿼시 설정을 업데이트할 수도 있습니다. 예를 들어 루트 UID 스쿼시와 GID 값을 변경하거나, 클라이언트를 NIDs 추가 또는 제거하거나, 루트 스쿼시를 비활성화할 수 있습니다.

  1. 에서 Amazon FSx 콘솔을 엽니다 https://console.aws.amazon.com/fsx/.

  2. 파일 시스템으로 이동하여 루트 스쿼시를 관리할 Lustre 파일 시스템을 선택합니다.

  3. Actions에서 루트 스쿼시 업데이트를 선택합니다. 또는 요약 패널에서 파일 시스템의 루트 스쿼시 필드 옆에 있는 업데이트를 선택하여 루트 스쿼시 설정 업데이트 대화 상자를 표시합니다.

  4. 루트 스쿼시의 경우 루트 사용자가 파일 시스템에 액세스할 수 IDs 있는 사용자 및 그룹을 업데이트하십시오. 04294967294—의 범위 내에서 임의의 정수를 지정할 수 있습니다. 루트 스쿼시를 비활성화하려면 둘 다 0 IDs (0) 으로 지정하십시오.

    1. 사용자 ID의 경우 루트 사용자가 사용할 사용자 ID를 지정합니다.

    2. 그룹 ID의 경우 루트 사용자가 사용할 그룹 ID를 지정합니다.

  5. 루트 스쿼시 예외의 경우 다음을 수행하십시오.

    1. 클라이언트 주소 추가를 선택합니다.

    2. 클라이언트 주소 필드에서 루트 스쿼시가 적용되지 않는 클라이언트의 IP 주소를 지정합니다.

    3. 필요에 따라 반복하여 클라이언트 IP 주소를 더 추가합니다.

  6. 업데이트를 선택합니다.

    참고

    루트 스쿼시가 활성화되어 있는데 비활성화하려면 4-6단계를 수행하는 대신 [비활성화] 를 선택합니다.

업데이트 탭의 파일 시스템 세부 정보 페이지에서 업데이트 진행 상황을 모니터링할 수 있습니다.

기존 FSx Lustre 파일 시스템의 루트 스쿼시 설정을 업데이트하려면 명령을 사용합니다. AWS CLI update-file-system 해당 작업은 입니다API. UpdateFileSystem

다음 파라미터를 설정합니다.

  • --file-system-id를 업데이트하려는 파일 시스템의 ID로 설정합니다.

  • --lustre-configuration RootSquashConfiguration 옵션을 다음과 같이 설정합니다.

    • RootSquash— 루트 사용자가 사용할 사용자 ID와 그룹 ID를 지정하는 콜론으로 구분된UID: GID 값을 설정합니다. 각 ID에 대해 0 - 4294967294(0은 루트) 범위 내의 모든 정수를 지정할 수 있습니다. 루트 스쿼시를 비활성화하려면: 0:0 값을 지정하십시오. UID GID

    • NoSquashNids— 루트 스쿼시가 적용되지 않는 클라이언트의 Lustre 네트워크 식별자 (NIDs) 를 지정합니다. 모든 클라이언트를 제거하는 [] 데 사용합니다. 즉NIDs, 루트 스쿼시에는 예외가 없습니다.

이 명령은 루트 사용자의 사용자 ID 및 그룹 ID 값으로 65534를 사용하여 루트 스쿼시를 활성화하도록 지정합니다.

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

명령이 성공하면 Amazon FSx for Lustre는 응답을 형식으로 JSON 반환합니다.

Amazon FSx 콘솔의 파일 시스템 세부 정보 페이지에 있는 요약 패널 또는 describe-file-systemsCLI명령의 응답 (동일한 API 작업 DescribeFileSystems) 에서 파일 시스템의 루트 스쿼시 설정을 볼 수 있습니다.