Ověřování a autorizace systému souborů
Jakmile porozumíte celkovému výkonu a charakteristikám provozu vaší úlohy, budete muset zvážit aspekty zabezpečení. Vaše data můžou být citlivá, jako jsou radiologické obrázky pacientů. Přístup k datům můžete chtít omezit z mnoha důvodů. Každý z vašich výzkumných pracovníků může nabídnout "domovský adresář", ze kterého mohou načítat data a provádět analýzy a simulace prostředí HPC.
Když vyberete cloudové úložiště PROSTŘEDÍ HPC, mějte na paměti, jak se integruje s aktuálním stavem zabezpečení. Seznamte se s metodami, pomocí kterých se systém souborů ověřuje a autorizuje přístup k souborům. Všimněte si, jestli je vynucení místní nebo vzdálené (nebo obojí) a kde se vytváří ověřování a autorizace. Pokud používáte vzdálený sdílený systém souborů, musíte pochopit, jak řídit přístup pomocí standardních postupů NAS. A konečně, pokud nabízíte jedinečné pracovní prostory pro uživatele (domovské adresáře), zjistěte, jak tento prostor přidělit.
V této lekci prozkoumáme aspekty zabezpečení a jejich vliv na architekturu úložiště.
Přehled ověřování a autorizace
Ověřování: Když poskytnete přístup k systémům souborů, musíte žadatele ověřit pomocí některých důvěryhodných přihlašovacích údajů. Řada architektur klientů nebo serverů řeší problémy s těmito přihlašovacími údaji, jako jsou účty uživatelů nebo počítačů. Tyto přihlašovací údaje se pak zkontrolují, aby se zajistilo, že jsou platné pro dané prostředí. Po ověření je žadatel (uživatel nebo počítač/proces) autorizován. Požadované přístupové protokoly pro vaše prostředí můžou omezit ověřování pro vaše řešení. Pokud máte například prostředí Windows, pravděpodobně používáte protokol SMB (Server Message Block) jako síťový protokol pro přístup k souborům. Požadavky na ověřování SMB nejsou stejné jako požadavky systému souborů NFS.
Autorizace: Povolení přístupu uživatele nebo počítače k prostředí je jedna věc, ale jakou úroveň přístupu? Uživatel A může například číst soubory v systému souborů a uživatel B může číst a zapisovat soubory. Autorizace může být hlubší než čtení a zápis. Uživatel C může například mít možnost upravovat soubory, ale ne vytvářet nové soubory v daném adresáři.
Úroveň autorizace se často vyjadřuje jako oprávnění pro daný soubor. Patří sem čtení, zápis a spouštění.
Uživatelé a skupiny: Udělení přístupu k sadě prostředků se může stát těžkopádným, když máte velký počet uživatelů. Pokud máte v úmyslu udělit různé úrovně přístupu více skupinám uživatelů, je to také složité. Použití skupin se pak stane nezbytným. Uživatele můžete přiřadit ke konkrétní skupině nebo skupině. Pak můžete autorizovat přístup k prostředkům na základě identifikace této skupiny.
Ověřování a autorizace společně představují přístup na úrovni uživatele, na úrovni skupiny a na úrovni počítače, které chcete udělit prostředkům v našem případě souborům.
Operační systém Linux přiřadí identifikátor uživatele (UID) jednotlivým uživatelským účtům. UID je celé číslo. Je to, co systém používá k určení systémových prostředků, včetně souborů a složek, ke kterému má konkrétní uživatel přístup.
Operační systém Linux používá identifikátory skupin (GID) pro přiřazení skupin. Uživatel je přidružený k jedné primární skupině. Uživatelé můžou být přidruženi k prakticky libovolnému počtu doplňkových přiřazení skupin, a to až 65 536 u většiny moderních systémů Linux.
Místní a vzdálené ověřování a autorizace
Místní ověřování a autorizace odkazují na přístup k místnímu systému souborů pomocí účtu uživatele nebo počítače, který je také místní pro počítač. Můžu například vytvořit uživatelský účet, který pak udělím přístup k adresáři /data umístěnému v místním systému souborů. Tento uživatelský účet je místní, stejně jako jakékoli udělení přístupu k adresáři. K řízení přístupu můžu také použít přiřazení skupiny. Kombinace autorizace uživatelů a skupin dává uživateli efektivní oprávnění k souboru nebo složce.
Pokud se podíváte na typický výstup ls -al příkazu adresáře, může se zobrazit něco takového:
drwxr-xr-x 4 root root 4096 Dec 31 19:43.
drwxr-xr-x 13 root root 4096 Dec 11 05:53 ..
drwxr-xr-x 6 root root 4096 Dec 31 19:43 microsoft
drwxr-xr-x 8 root root 4096 Dec 31 19:43 omi
-rw-r--r-- 1 root root 0 Jan 21 15:10 test.txt
drwxr-xr-x Znaky představují úroveň autorizovaného přístupu, kterou uživatelé a skupiny mají k souboru nebo adresáři. Označuje d , že položka je adresář. (Pokud je -první hodnota , položka je položka souboru.) Zbývající znaky představují autorizaci skupiny oprávnění pro čtení (r), zápis (w) a spuštění (x). První tři hodnoty označují "vlastníka" souboru nebo adresáře. Druhé tři hodnoty označují oprávnění skupiny přiřazená k souboru nebo adresáři. Poslední tři hodnoty označují oprávnění povolená všem ostatním uživatelům v systému.
Tady je příklad:
-rw-r--r-- 1 root root 0 Jan 21 15:10 test.txt
-označuje, že tento prostředek je soubor.rw-označuje, že vlastník má oprávnění ke čtení a zápisu.r--označuje, že přiřazená skupina má pouze oprávnění ke čtení.r--označuje, že zbývající uživatelé mají oprávnění jen ke čtení.- Všimněte si také, že vlastnící uživatel a přiřazená skupina jsou reprezentovány dvěma
rootsloupci.
UID a primární a doplňkové identifikátory GID představují ověřeného uživatele v místním počítači. Tyto hodnoty jsou místní pro počítač. Co se stane, když máte pět nebo dokonce 50 počítačů? Na každém z těchto počítačů byste museli replikovat přiřazení UID a GID. Úroveň složitosti správy uživatelů roste, stejně jako možnost náhodného udělení přístupu k souboru nebo složce nesprávnému uživateli.
Vzdálený přístup k souborům přes systém souborů NFS
Místní přiřazení UID a GID funguje správně, pokud spouštíte všechno jako přiřazení jednoho uživatele nebo skupiny. Co když cluster HPC, který používáte, více zúčastněných stran a každý účastník má citlivá data a více příjemců těchto dat?
Umístění dat na souborovém serveru nebo prostředí NAS umožňuje vzdálený přístup k datům. Tento přístup pomáhá snížit náklady na místní disk, zajišťuje, že jsou data aktuální pro všechny uživatele a snižuje celkovou správu uživatelů a skupin.
Pokud soubory vyhledáte centrálně, možná budete potřebovat adresářovou službu , která obsahuje konfiguraci uživatele a skupiny. Adresářové služby, jako je Active Directory nebo Protokol LDAP (Lightweight Directory Access Protocol), umožňují vytvořit mapování uživatelů/skupin, které pak můžou používat všechny vzdálené systémy. Vzdálené počítače a prostředí NAS nakonfigurujete jako klienty adresářové služby. Můžete také použít mapování služby Active Directory mezi uživatelskými účty Windows a konkrétní kombinací UID a GID.
Typickou metodou vzdáleného přístupu k souborům je použití síťového systému souborů, jako je NFS nebo SMB, nebo paralelní systém souborů, jako je Lustre. Tyto protokoly definují rozhraní API klienta a serveru pro přístup k datům. Probrali jsme operace NFS v lekci "Aspekty výkonu systému souborů". V další lekci probereme použití systému souborů NFS o délce.
Poznámka:
Adresářová služba se nevyžaduje, když používáte systém souborů NFS. Pokud ho ale nepoužíváte, správa UID a GID bude stále obtížná, pokud máte velký počet uživatelů a systémů.
Domovské adresáře
Řekněme, že máte prostředí HPC, které používá více výzkumných pracovníků, ale jejich jedinečná data musí být oddělená. Řekněme, že tito vědci neustále upravují a přidávají do svých vlastních dat. Poskytování výzkumných pracovníků vlastním domovským adresářům představuje efektivní způsob, jak oddělit data.
Každý výzkumný pracovník by zpracoval oprávnění v rámci domovského adresáře, takže by mohl spolupracovat, pokud by chtěl.
Jedním z hlavních problémů v tomto prostředí je úložný prostor. Řekněme, že máte prostředí NAS o 500 TB. Co zastaví, aby jeden výzkumný pracovník ho vůbec používal?
Kvótu můžete přiřadit k jednotlivým adresářům. Kvóta odpovídá maximálnímu povolenému množství dat. Po dosažení kvóty může odmítnout další data nebo upozornit správce, že výzkumná služba překročila limit. Pokud máte například systém NAS, můžete každému výzkumnému pracovníku přiřadit kvótu. A pokud izolujete přístup výzkumníků k domovskému adresáři, bude snadné nakonfigurovat a monitorovat jejich využití.