光澤根南瓜 - FSx為了光澤
根南瓜是如何工作的管理根南瓜

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

光澤根南瓜

根壁球是一種管理功能,它在當前基於網絡的訪問控制和文件權限之上添加了一個額外的POSIX文件訪問控制層。使用根封閉功能,您可以限制從嘗試以 root 身份存取 Lustre 檔案系統的FSx用戶端的根層級存取權。

執行管理動作 (例如管理 Lustre 檔案系統的權限) 需要 root 使用者權限。FSx不過,root 存取權可讓使用者不受限制地存取,讓他們略過存取、修改或刪除檔案系統物件的權限檢查。使用根壁球功能,您可以為檔案系統指定非 root 使用者 ID (UID) 和群組 ID (GID),以防止未經授權的存取或刪除資料。存取檔案系統的根使用者會自動轉換為指定的權限較低權限的使用者/群組,而且權限有限是由儲存區管理員所設定。

根壁球功能也可以選擇性地提供不受根壁球設定影響的用戶端清單。這些用戶端可以使用不受限制的權限,以 root 身分存取檔案系統。

根南瓜是如何工作的

根壁球功能的運作方式是將根使用者的使用者 ID (UID) 和群組 ID (GID) 重新對應至 a,UID並由 Lustre 系統管理員GID指定。根壁球功能也可讓您選擇性地指定一組不適用UID/GID重新對應的用戶端。

當您FSx為 Lustre 檔案系統建立新的時候,根壁球預設為停用。您可以透過為 Lustre 檔案系統配置UID和GID根壁球設定來啟FSx用根壁球。UID和GID值是整數,範圍從04294967294

  • UID並GID啟用根壁球的非零值。UID和GID值可以不同,但每個值都必須是非零值。

  • 0 (零) GID 表示UID並表示根,因此會停用根壁球。

在檔案系統建立期間,您可以使用 Amazon FSx 主控台在「根壁球」屬性中提供根壁球UID和GID值,如中所示要在創建文件系統時啟用根壁球(控制台)。您也可以API將RootSquash參數與 AWS CLI 或搭配使用,以提供UID和GID值,如中所示建立檔案系統時啟用根壁球 (CLI)

或者,您也可以指定不適用根壁球NIDs的用戶端清單。用戶端NID是用來唯一識別用戶端的 Lustre 網路識別碼。您可以指定NID為單一位址或位址範圍:

  • 單一位址以標準 Lustre NID 格式描述,方法是指定用戶端的 IP 位址,後面接著 Lustre 網路 ID (例如)。10.0.1.6@tcp

  • 使用破折號來分隔範圍 (例如10.0.[2-10].[1-255]@tcp) 來描述位址範圍。

  • 如果您不指定任何客戶端NIDs,則根壁球不會有例外。

建立或更新檔案系統時,您可以使用 Amazon FSx 主控台中的「根壁球例外」屬性來提供用戶端清單NIDs。在 AWS CLI 或中API,使用NoSquashNids參數。如需詳細資訊,請參閱中的程序管理根南瓜

管理根南瓜

在檔案系統建立期間,根壁球預設為停用。您可以在從 Amazon FSx 控制台創建新FSx的 Amazon Lustre 文件系統時啟用根壁球 AWS CLI,或。API

  1. 在打開 Amazon FSx 控制台https://console.aws.amazon.com/fsx/

  2. 請遵循〈入門〉一節中所述的步驟 1:創建您FSx的光澤文件系統建立新檔案系統的程序。

  3. 打開根壁球-可選部分。

  4. 針對根壁球,提供 root 使用者可以存取檔案系統的使用者和群組IDs。您可以指定範圍內的任何整數 14294967294:

    1. 對於「使用者 ID」,請指定要使用的 root 使用者的使用者 ID。

    2. 針對「群組 ID」,指定要使用的根使用者的群組 ID。

  5. (選擇性) 對於根壁球的例外狀況,請執行下列動作:

    1. 選擇新增用戶端位址

    2. 在「用戶端位址」欄位中,指定不適用根封閉之用戶端的 IP 位址。如需 IP 位址格式的相關資訊,請參閱根南瓜是如何工作的

    3. 視需要重複此步驟,以新增更多用戶端 IP 位址。

  6. 當您建立新的檔案系統時,完成精靈的作業。

  7. 選擇 Review and create (檢閱和建立)。

  8. 檢閱您為 Amazon of Lustre 檔案系統選擇FSx的設定,然後選擇 [建立檔案系統]。

當檔案系統為可用時,會啟用根壁球。

  • 若要FSx為已啟用根壁球的 Lustre 檔案系統建立,請使用 Amazon 指FSxCLI令create-file-system搭配參數RootSquashConfiguration。相應的API操作是CreateFileSystem

    對於RootSquashConfiguration參數,請設定下列選項:

    • RootSquash— 以冒號分隔的UID:GID值,指定要使用的使用者 ID 和群組 ID,供 root 使用者使用。您可以為每個 ID 指定 04294967294 (0 代表 root) 範圍內的任何整數 (例如,65534:65534)。

    • NoSquashNids— 指定不適用根壁球的用戶端的 Lustre 網路識別碼 (NIDs)。如需用戶端NID格式的資訊,請參閱根南瓜是如何工作的

    下列範例會FSx為啟用根壁球的 Lustre 檔案系統建立:

    $ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2

成功建立檔案系統之後,Amazon 會FSx傳回檔案系統說明JSON,如下列範例所示。

{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

您也可以使用 Amazon FSx 主控台、 AWS CLI或更新現有檔案系統的根壓縮設定API。例如,您可以變更根壁球UID和GID值、新增或移除用戶端NIDs,或停用根壁球。

  1. 在打開 Amazon FSx 控制台https://console.aws.amazon.com/fsx/

  2. 瀏覽至檔案系統,然後選擇您要管理根壁球的 Lustre 檔案系統。

  3. 在「動作」 中,選擇「更新根壁球」。或者,在「摘要」面板中,選擇檔案系統的「根壁球」欄位旁邊的「新」,以顯示「更新根壁球設定」對話方塊。

  4. 對於根壁球,請更新 root 使用者可以存取檔案系統的使用者和群組IDs。您可以指定 0 — 範圍內的任何整數4294967294。若要停用根壁球,請為兩者指定 0 (零) IDs。

    1. 對於「使用者 ID」,請指定要使用的 root 使用者的使用者 ID。

    2. 針對「群組 ID」,指定要使用的根使用者的群組 ID。

  5. 對於根壁球的例外情況,請執行以下操作:

    1. 選擇新增用戶端位址

    2. 在「用戶端位址」欄位中,指定不套用根封閉之用戶端的 IP 位址,

    3. 視需要重複此步驟,以新增更多用戶端 IP 位址。

  6. 選擇更新

    注意

    如果已啟用根壁球,而您想要停用它,請選擇「停用」而不是執行步驟 4-6。

您可以在 [更新] 索引標籤的檔案系統詳細資料頁面上監視更新進度。

若要更新 Lustre 檔案系統FSx的現有根壁球設定,請使用指 AWS CLI 令。update-file-system相應的API操作是UpdateFileSystem

設定下列參數:

  • 設定--file-system-id為您要更新之檔案系統的 ID。

  • 設定--lustre-configuration RootSquashConfiguration選項如下:

    • RootSquash— 設定以冒號分隔的UID:GID值,指定要使用者的使用者 ID 和群組 ID,供 root 使用者使用。您可以為每個 ID 指定 04294967294 (0 代表 root) 範圍內的任何整數。若要停用根壁球,請0:0為UID:GID值指定。

    • NoSquashNids— 指定不適用根壁球的用戶端的 Lustre 網路識別碼 (NIDs)。用[]來移除所有用戶端NIDs,這表示根壁球不會有例外狀況。

此命令指定使用者65534作為根使用者使用者 ID 和群組識別碼的值來啟用根壁球。

$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

如果命令成功,Amazon FSx 為 Lustre 返回格式的響應。JSON

您可以在 Amazon FSx 主控台上檔案系統詳細資訊頁面的「摘要」面板中檢視檔案系統的根壓縮設定,或是回應describe-file-systemsCLI指令 (等效的API動作為 DescribeFileSystems)。