Como o root squash funciona Como gerenciar root squash

Lustre root squash

Root squash é um recurso administrativo que adiciona outra camada do controle de acesso a arquivos sobre o atual controle de acesso baseado em rede e as permissões de arquivo POSIX. Usando o recurso root squash, você pode restringir o acesso no nível raiz de clientes que tentam acessar seu sistema de arquivos FSx for Lustre como root.

As permissões do usuário root são necessárias para realizar ações administrativas, como gerenciar permissões nos sistemas FSx de arquivos Lustre. No entanto, o acesso raiz fornece acesso irrestrito aos usuários, permitindo que eles ignorem as verificações de permissão para acessar, modificar ou excluir objetos do sistema de arquivos. Usando o recurso root squash, você pode impedir o acesso não autorizado ou a exclusão de dados especificando um ID de usuário não raiz (UID) e um ID de grupo (GID) para o sistema de arquivos. Os usuários raiz que acessam o sistema de arquivos serão automaticamente convertidos no usuário/grupo menos privilegiado especificado, com permissões limitadas definidas pelo administrador de armazenamento.

O recurso root squash também permite, opcionalmente, fornecer uma lista de clientes que não são afetados pela configuração do root squash. Esses clientes podem acessar o sistema de arquivos como raiz, com privilégios irrestritos.

Como o root squash funciona

O recurso root squash funciona remapeando o ID do usuário (UID) e o ID do grupo (GID) do usuário raiz para um UID e GID especificados pelo Lustre administrador do sistema. O recurso root squash também permite especificar opcionalmente um conjunto de clientes aos quais o remapeamento de UID/GID não se aplica.

Quando você cria um novo sistema de arquivos FSx para o Lustre, o root squash é desativado por padrão. Você habilita o root squash definindo uma configuração de root squash UID e GID para o seu FSx sistema de arquivos for Lustre. Os valores UID e GID são números inteiros que podem variar de 0 a 4294967294.

Um valor diferente de zero para UID e GID habilita o root squash. Os valores UID e GID podem ser diferentes, mas cada um deve ser um valor diferente de zero.
Um valor 0 (zero) para UID e GID indica raiz e, portanto, desabilita o root squash.

Durante a criação do sistema de arquivos, você pode usar o FSx console da Amazon para fornecer os valores UID e GID do root squash na propriedade Root Squash, conforme mostrado em. Para habilitar o root squash ao criar um sistema de arquivos (console) Você também pode usar o RootSquash parâmetro com a API AWS CLI ou para fornecer os valores de UID e GID, conforme mostrado em. Habilitar o root squash ao criar um sistema de arquivos (CLI)

Opcionalmente, você também pode especificar uma lista NIDs de clientes aos quais o root squash não se aplica. O NID de um cliente é um Lustre Identificador de rede usado para identificar exclusivamente um cliente. Você pode especificar o NID como endereço único ou um intervalo de endereços:

Um único endereço é descrito no padrão Lustre Formato NID especificando o endereço IP do cliente seguido pelo Lustre ID de rede (por exemplo,10.0.1.6@tcp).
Um intervalo de endereços é descrito usando um traço para separar o intervalo (por exemplo, 10.0.[2-10].[1-255]@tcp).
Se você não especificar nenhum cliente NIDs, não haverá exceções ao root squash.

Ao criar ou atualizar seu sistema de arquivos, você pode usar a propriedade Exceptions to Root Squash no FSx console da Amazon para fornecer a lista de clientes. NIDs Na API AWS CLI or, use o NoSquashNids parâmetro. Para obter mais informações, consulte os procedimentos em Como gerenciar root squash.

Como gerenciar root squash

Durante a criação do sistema de arquivos, o root squash fica desabilitado por padrão. Você pode ativar o root squash ao criar um novo sistema de arquivos Amazon FSx for Lustre a partir do FSx console ou da API AWS CLI da Amazon.

Abra o FSx console da Amazon em https://console.aws.amazon.com/fsx/.
Siga o procedimento para a criação de um novo sistema de arquivos descrito na Etapa 1: Crie seu sistema de arquivos FSx for Lustre na seção Conceitos básicos.
Abra a seção Root Squash - opcional.
Para o Root Squash, forneça o usuário e o grupo IDs com os quais o usuário root pode acessar o sistema de arquivos. Você pode especificar qualquer número inteiro no intervalo de 1 a 4294967294:
1. Em ID do usuário, especifique o ID do usuário para o usuário-raiz.
2. Em ID do grupo, especifique o ID do grupo que o usuário-raiz vai usar.
(Opcional) Em Exceções para Root Squash, faça o seguinte:
1. Escolha Adicionar endereço do cliente.
2. No campo Endereços do cliente, especifique o endereço IP de um cliente ao qual o root squash não se aplica. Para obter informações sobre o formato do endereço IP, consulte Como o root squash funciona.
3. Repita conforme necessário para adicionar mais endereços IP do cliente.
Conclua o assistente da forma como você faz quando cria um novo sistema de arquivos.
Selecione Review and create.
Revise as configurações que você escolheu para seu sistema de arquivos Amazon FSx for Lustre e, em seguida, escolha Criar sistema de arquivos.

Quando o sistema de arquivos estiver Disponível, o root squash estará habilitado.

Para criar um sistema de arquivos FSx para o Lustre com o root squash ativado, use o comando create-file-systemAmazon FSx CLI com o parâmetro. RootSquashConfiguration A operação de API correspondente é CreateFileSystem.

Para o parâmetro RootSquashConfiguration, defina as seguintes opções:
- RootSquash: os valores UID:GID separados por dois pontos que especificam o ID do usuário e o ID do grupo para o usuário raiz. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294 (0 é raiz) para cada ID (por exemplo, 65534:65534).
- NoSquashNids— Especifique o Lustre Identificadores de rede (NIDs) de clientes aos quais o root squash não se aplica. Para obter informações sobre o formato do NID do cliente, consulte Como o root squash funciona.
O exemplo a seguir cria um sistema de arquivos FSx for Lustre com o root squash ativado:
```
$ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2
```

Depois de criar o sistema de arquivos com sucesso, a Amazon FSx retorna a descrição do sistema de arquivos como JSON, conforme mostrado no exemplo a seguir.


{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Você também pode atualizar as configurações do root squash do seu sistema de arquivos existente usando o FSx console ou a API da Amazon. AWS CLI Por exemplo, você pode alterar os valores UID e GID do root squash, adicionar ou remover o cliente NIDs ou desativar o root squash.

Abra o FSx console da Amazon em https://console.aws.amazon.com/fsx/.
Navegue até Sistemas de arquivos e escolha a Lustre sistema de arquivos para o qual você deseja gerenciar o root squash.
Em Ações, escolha Atualizar root squash. Como alternativa, no painel Resumo, escolha Atualizar ao lado do campo Root Squash do sistema de arquivos para exibir a caixa de diálogo Atualizar configurações do Root Squash.
Para o Root Squash, atualize o usuário e o grupo IDs com os quais o usuário root pode acessar o sistema de arquivos. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294. Para desativar o root squash, especifique 0 (zero) para ambos IDs.
1. Em ID do usuário, especifique o ID do usuário para o usuário-raiz.
2. Em ID do grupo, especifique o ID do grupo que o usuário-raiz vai usar.
Em Exceções para Root Squash, faça o seguinte:
1. Escolha Adicionar endereço do cliente.
2. No campo Endereços do cliente, especifique o endereço IP de um cliente ao qual o root squash não se aplica.
3. Repita conforme necessário para adicionar mais endereços IP do cliente.
Selecione Atualizar.

nota
Se o root squash estiver habilitado e você quiser desabilitá-lo, escolha Desabilitar em vez de executar as etapas 4 a 6.

Você pode monitorar o progresso da atualização na página de detalhes dos sistemas de arquivos na guia Atualizações.

Para atualizar as configurações do root squash de um sistema de arquivos existente FSx do Lustre, use o AWS CLI comando. update-file-system A operação de API correspondente é UpdateFileSystem.

Defina os seguintes parâmetros:

Defina --file-system-id como o ID do sistema de arquivos que está sendo atualizado.
Defina as opções --lustre-configuration RootSquashConfiguration desta forma:
- RootSquash: defina os valores UID:GID separados por dois pontos que especificam o ID do usuário e o ID do grupo para o usuário raiz. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294 (0 é raiz) para cada ID. Para desabilitar o root squash, especifique 0:0 para os valores UID:GID.
- NoSquashNids— Especifique o Lustre Identificadores de rede (NIDs) de clientes aos quais o root squash não se aplica. Use [] para remover todos os clientes NIDs, o que significa que não haverá exceções ao root squash.

Esse comando especifica que o root squash é habilitado usando 65534 como valor para o ID do usuário e o ID do grupo do usuário raiz.


$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Se o comando for bem-sucedido, o Amazon FSx for Lustre retornará a resposta no formato JSON.

Você pode visualizar as configurações do root squash do seu sistema de arquivos no painel Resumo da página de detalhes do sistema de arquivos no FSx console da Amazon ou em resposta a um comando da describe-file-systemsCLI (a ação DescribeFileSystemsequivalente da API é).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Compactação de dados

Status do sistema de arquivos

Lustre root squash

Tópicos

Como o root squash funciona

Como gerenciar root squash

nota