Lustre 根挤压 - FSx为了光泽
根挤压的工作原理管理根挤压

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lustre 根挤压

Root squash 是一项管理功能,它在当前基于网络的访问控制和文件权限的基础上又增加了一层POSIX文件访问控制。使用 root 压缩功能,您可以限制尝试以 root 用户身份访问您的 for Lustre 文件系统的客户端FSx的根级别访问权限。

需要有 root 用户权限才能执行管理操作,例如管理 Lustre 文件系统的权限。FSx但是,根访问权限为用户提供了不受限制的访问权限,他们可以绕过权限检查来访问、修改或删除文件系统对象。使用 root 压缩功能,您可以通过为文件系统指定非 root 用户 ID (UID) 和组 ID (GID) 来防止未经授权的访问或删除数据。访问文件系统的根用户将自动转换为权限较低的指定用户/组,仅具有存储管理员设置的有限权限。

使用根挤压功能,还可以选择提供不受根挤压设置影响的客户端列表。这些客户端能够以根用户身份访问文件系统,且权限不受限制。

根挤压的工作原理

root squash 功能的工作原理是将 root 用户的用户 ID (UIDGID) 和群组 ID () 重新映射到 Lustre 系统管理员GID指定的UID和。root squash 功能还允许你选择性地指定一组UID/GID重新映射不适用的客户端。

当你FSx为 Lustre 文件系统创建新的文件系统时,root squash 默认处于禁用状态。您可以通过为 for Lustre 文件系统配置UID和GID根压缩设置来FSx启用根压缩。UID和GID值是整数,范围可以从04294967294

  • 的非零值UID并GID启用根南瓜。UID和GID值可以不同,但每个值都必须是非零值。

  • UID和的值为0(零)GID表示根,因此禁用根挤压。

在创建文件系统的过程中,您可以使用 Amazon FSx 控制台在 Root Squash 属性中提供 root squash UID 和 Root Squash 属性中的GID值,如所示在创建文件系统时启用 root squash(控制台)。您也可以使用带 AWS CLI 或的RootSquash参数API来提供UID和GID值,如所示要在创建文件系统时启用 root squash (CLI)

或者,您还可以指定不适用 root squash 的客户端列表。NIDs客户端NID是 Lustre 网络标识符,用于唯一标识客户端。您可以将指定NID为单个地址或地址范围:

  • 使用标准 Lustre NID 格式描述单个地址,方法是指定客户机的 IP 地址,然后指定 Lustre 网络 ID(例如)。10.0.1.6@tcp

  • 描述地址范围时用短划线分隔范围(例如 10.0.[2-10].[1-255]@tcp)。

  • 如果你没有指定任何客户端NIDs,那么root squash 也不会有例外。

创建或更新文件系统时,您可以使用亚马逊FSx控制台中的 Root Squash 异常属性来提供客户端列表NIDs。在 AWS CLI 或中API,使用NoSquashNids参数。有关更多信息,请参阅中的步骤管理根挤压

管理根挤压

在创建文件系统期间,root squash 默认处于禁用状态。在从亚马逊FSx控制台创建新的 Amazon FSx for Lustre 文件系统时,你可以启用根压缩 AWS CLI,或API。

  1. 打开亚马逊FSx控制台,网址为https://console.aws.amazon.com/fsx/

  2. 按照入门部分的第 1 步:创建你的 f FSx or Lustre 文件系统中所述的步骤创建新文件系统。

  3. 打开 Root Squash-可选部分。

  4. 对于 Root Squash,请提供 root 用户可以访问文件系统的用户和群组IDs。您可以指定 1 — 范围内的任意整数4294967294

    1. 在 “用户 ID” 中,指定 root 用户要使用的用户 ID。

    2. 在 “群组 ID” 中,指定 root 用户要使用的群组 ID。

  5. (可选)对于 Root Squash 的例外情况,请执行以下操作:

    1. 选择添加客户地址

    2. 在 “客户端地址” 字段中,指定不适用 root squash 的客户端的 IP 地址。有关 IP 地址格式的信息,请参阅根挤压的工作原理

    3. 根据需要重复此操作以添加更多客户端 IP 地址。

  6. 按照创建新文件系统时的操作完成向导。

  7. 选择审核和创建

  8. 查看您为 Amazon FSx for Lustre 文件系统选择的设置,然后选择创建文件系统

当文件系统变为 “可用” 时,将启 root squash。

  • 要创建启用了 root 压缩的 for Lustre 文件系统,请使用create-file-systemRootSquashConfiguration参数的 Amazon FSx CLI 命令。FSx相应的API操作是CreateFileSystem

    对于 RootSquashConfiguration 参数,请设置以下选项:

    • RootSquash— 冒号分隔UID:用于指定供根用户使用的用户 ID 和组 ID 的GID值。可以为每个 ID 指定 04294967294(0 表示根)范围内的任意整数(例如,65534:65534)。

    • NoSquashNids— 指定不适用 root squash 的客户端的 Lustre 网络标识符 (NIDs)。有关客户端NID格式的信息,请参见根挤压的工作原理

    以下示例创建了一个启用了根压缩功能FSx的 for Lustre 文件系统:

    $ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2

成功创建文件系统后,Amazon 会FSx返回文件系统描述JSON,如下例所示。

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

您也可以使用 Amazon FSx 控制台 AWS CLI、或,更新现有文件系统的根压缩设置API。例如,您可以更改 root squash UID 和GID值、添加或移除客户端NIDs,或者禁用 root squash。

  1. 打开亚马逊FSx控制台,网址为https://console.aws.amazon.com/fsx/

  2. 导航到 “文件系统”,然后选择要为其管理 root squash 的 Lustre 文件系统。

  3. 在 “操作” 中,选择 “更新根挤压”。或者,在 “摘要” 面板中,选择文件系统的 “R oot Sq uash” 字段旁边的 “更新”,以显示 “更新 Root Squash 设置” 对话框。

  4. 对于 Root Squash,请更新 root 用户可以用来访问文件系统的用户和群组IDs。您可以指定 0 — 范围内的任意整数4294967294。要禁用根南瓜,请为两者都指定0(零)IDs。

    1. 在 “用户 ID” 中,指定 root 用户要使用的用户 ID。

    2. 在 “群组 ID” 中,指定 root 用户要使用的群组 ID。

  5. 对于 Root Squash 的例外情况,请执行以下操作:

    1. 选择添加客户地址

    2. 在 “客户端地址” 字段中,指定不适用 root squash 的客户端的 IP 地址,

    3. 根据需要重复此操作以添加更多客户端 IP 地址。

  6. 选择更新

    注意

    如果启用了 root squash 并且您想将其禁用,请选择 “禁用”,而不是执行步骤 4-6。

可以在文件系统详细信息页面的更新选项卡上监控更新进度。

要更新现有 FSx For Lustre 文件系统的根压缩设置,请使用 AWS CLI 命令update-file-system。相应的API操作是UpdateFileSystem

设置以下参数:

  • --file-system-id 设置为要更新的文件系统的 ID。

  • 设置 --lustre-configuration RootSquashConfiguration 选项,如下所示:

    • RootSquash— 设置以冒号分隔的UID:GID值,这些值指定根用户要使用的用户 ID 和组 ID。可以为每个 ID 指定 04294967294(0 表示根)范围内的任意整数。要禁用根南瓜,请指定0:0UID:GID值。

    • NoSquashNids— 指定不适用 root squash 的客户端的 Lustre 网络标识符 (NIDs)。用于[]移除所有客户端NIDs,这意味着 root squash 不会有任何例外。

以下命令指定启用根挤压并使用 65534 作为根用户的用户 ID 和组 ID 的值。

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

如果命令成功,Amazon FSx for Lustre 将以JSON格式返回响应。

您可以在 Amazon FSx 控制台文件系统详情页面的 “摘要” 面板中或describe-file-systemsCLI命令的响应(等效API操作是 DescribeFileSystems)中查看文件系统的根压缩设置。