Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Root squash de Lustre
Root squash es una característica administrativa que agrega una capa adicional de control de acceso a archivos sobre el actual control de acceso basado en red y los permisos de archivos POSIX. Utilizando la característica Root squash, puede restringir el acceso a nivel de raíz de los clientes que intentan acceder a su sistema de archivos de FSx para Lustre como raíz.
Los permisos de usuario raíz son necesarios para realizar acciones administrativas, tales como la gestión de permisos en sistemas de archivos de FSx para Lustre. Sin embargo, el acceso raíz proporciona acceso sin restricciones a los usuarios, permitiéndoles saltarse las comprobaciones de permisos para acceder, modificar o borrar objetos del sistema de archivos. Con la característica root squash, puede evitar el acceso no autorizado o la eliminación de datos especificando un ID de usuario (UID) y un ID de grupo (GID) que no sean raíz para su sistema de archivos. Los usuarios raíz que accedan al sistema de archivos se convertirán automáticamente en el usuario/grupo especificado con menos privilegios y con permisos limitados establecidos por el administrador del almacenamiento.
La característica root squash también permite, de forma opcional, proporcionar una lista de clientes a los que no afecta la configuración de root squash. Estos clientes pueden acceder al sistema de archivos como raíz, con privilegios sin restricciones.
Cómo funciona Root Squash
La característica root squash funciona reasignando el identificador de usuario (UID) y el identificador de grupo (GID) del usuario raíz a un UID y GID especificados por el administrador del sistema de Lustre. La característica root squash también permite especificar, de forma opcional, un conjunto de clientes a los que no se aplica la reasignación de UID/GID.
Cuando se crea un nuevo sistema de archivos de FSx para Lustre, root squash está deshabilitado de forma predeterminada. Para activar root squash, configure un UID y GID root squash para su sistema de archivos de FSx para Lustre. Los valores UID y GID son números enteros que pueden oscilar entre 0 y 4294967294:
Un valor distinto de cero para UID y GID habilita el root squash. Los valores UID y GID pueden ser diferentes, pero cada uno debe ser un valor distinto de cero.
Un valor de
0(cero) para UID y GID indica raíz, y por lo tanto desactiva la característica root squash.
Durante la creación del sistema de archivos, puede usar la consola de Amazon FSx para proporcionar los valores UID y GID del root squash en la propiedad Root Squash, como se muestra en Para habilitar la característica root squash al crear un sistema de archivos (consola). También puede usar el parámetro RootSquash con la AWS CLI o la API para proporcionar los valores UID y GID, como se muestra en Para habilitar la característica root squash al crear un sistema de archivos (CLI).
Opcionalmente, también puede especificar una lista de NID de clientes para los que no se aplique root squash. Un NID de cliente es un identificador de red de Lustre usado para identificar de forma única a un cliente. Puede especificar el NID como una dirección única o como un rango de direcciones:
Una dirección única se describe en el formato NID estándar de Lustre especificando la dirección IP del cliente seguida del identificador de red de Lustre (por ejemplo,
10.0.1.6@tcp).Un rango de direcciones se describe utilizando un guion para separar el rango (por ejemplo,
10.0.[2-10].[1-255]@tcp).Si no especifica ningún NID de cliente, no habrá excepciones al root squash.
Al crear o actualizar el sistema de archivos, puede usar la propiedad Excepciones a Root Squash de la consola de Amazon FSx para proporcionar la lista de NID de los clientes. En la AWS CLI o la API, use el parámetro NoSquashNids. Para obtener más información, consulte los procedimientos en Administración de root squash.
Administración de root squash
De forma predeterminada, root squash está deshabilitada durante la creación de sistemas de archivos. Puede habilitar la característica root squash al crear un nuevo sistema de archivos de Amazon FSx para Lustre desde la consola de Amazon FSx, la AWS CLI o la API.
-
Abra la consola de Amazon FSx en https://console.aws.amazon.com/fsx/
. Siga el procedimiento para crear un nuevo sistema de archivos que se describe en Paso 1: crear un sistema de archivos FSx para Lustre en la sección Primeros pasos.
Abra la sección Root Squash: opcional.
-
En el caso de Root Squash, proporcione los identificadores de usuario y grupo con los que el usuario raíz puede acceder al sistema de archivos. Puede especificar cualquier número entero en el rango de
1a4294967294:Para identificador de usuario, especifique el identificador de usuario que debe usar el usuario raíz.
Para identificador de grupo, especifique el identificador de grupo que debe usar el usuario raíz.
-
(Opcional) Para las excepciones a Root Squash, haga lo siguiente:
Seleccione Agregar dirección de cliente.
En el campo Direcciones de los clientes, especifique la dirección IP de un cliente al que no se aplica root squash. Para obtener información sobre el formato de la dirección IP, consulte Cómo funciona Root Squash.
Repita el procedimiento según sea necesario para agregar más direcciones IP de clientes.
-
Complete el asistente igual que cuando crea un nuevo sistema de archivos.
-
Elija Review and create.
-
Revise la configuración que eligió para el sistema de archivos Amazon FSx para Lustre y, a continuación, elija Create file system.
Cuando el sistema de archivos está disponible, root squash está activada.
Para crear un sistema de archivos de FSx para Lustre con root squash activado, utilice el comando CLI
create-file-systemde Amazon FSx con el parámetro elRootSquashConfiguration. La operación de API correspondiente es CreateFileSystem.En el parámetro
RootSquashConfiguration, elija las siguientes opciones:RootSquash: Los valores UID:GID separados por dos puntos que especifican el ID de usuario y el ID de grupo que debe utilizar el usuario raíz. Puede especificar cualquier número entero en el rango de0-4294967294(0 es raíz) para cada ID (por ejemplo,65534:65534).NoSquashNids: especifique los identificadores de red (NID) de Lustre de los clientes a los que no se aplicará la característica root squash. Para obtener información sobre el formato de NID del cliente, consulte Cómo funciona Root Squash.
En el siguiente ejemplo, se crea un sistema de archivos de FSx para Lustre con root squash activado:
$aws fsx create-file-system \ --client-request-token CRT1234 \ --file-system-type LUSTRE \ --file-system-type-version 2.15 \ --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\ RootSquashConfiguration={RootSquash="65534:65534",\ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \ --storage-capacity 2400 \ --subnet-ids subnet-123456 \ --tags Key=Name,Value=Lustre-TEST-1 \ --region us-east-2
Después de crear correctamente el sistema de archivos, Amazon FSx devuelve la descripción del sistema de archivos como JSON, tal y como se muestra en el siguiente ejemplo.
{
"FileSystems": [
{
"OwnerId": "111122223333",
"CreationTime": 1549310341.483,
"FileSystemId": "fs-0123456789abcdef0",
"FileSystemType": "LUSTRE",
"FileSystemTypeVersion": "2.15",
"Lifecycle": "CREATING",
"StorageCapacity": 2400,
"VpcId": "vpc-123456",
"SubnetIds": [
"subnet-123456"
],
"NetworkInterfaceIds": [
"eni-039fcf55123456789"
],
"DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
"ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
"Tags": [
{
"Key": "Name",
"Value": "Lustre-TEST-1"
}
],
"LustreConfiguration": {
"DeploymentType": "PERSISTENT_2",
"DataCompressionType": "LZ4",
"PerUnitStorageThroughput": 250,
"RootSquashConfiguration": {
"RootSquash": "65534:65534",
"NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
}
}
]
}También puede actualizar la configuración de root squash del sistema de archivos actual mediante la consola de Amazon FSx, la AWS CLI o la API. Por ejemplo, puede cambiar los valores de UID y GID de root squash, añadir o eliminar los NID de cliente o deshabilitar root squash.
Abra la consola de Amazon FSx en https://console.aws.amazon.com/fsx/
. -
Vaya a Sistemas de archivos y elija el sistema de archivos de Lustre para el que desee gestionar root squash.
En Acciones, elija Actualizar root squash. O bien, en el panel de Resumen, seleccione Actualizar junto al campo Root Squash del sistema de archivos para que aparezca el cuadro de diálogo Actualizar configuración de Root Squash.
-
En el caso de Root Squash, actualice los identificadores de usuario y grupo con los que el usuario raíz puede acceder al sistema de archivos. Puede especificar cualquier número entero en el rango de
0a4294967294. Para deshabilitar root squash, especifique0(cero) para ambos identificadores.Para identificador de usuario, especifique el identificador de usuario que debe usar el usuario raíz.
Para identificador de grupo, especifique el identificador de grupo que debe usar el usuario raíz.
-
Para las excepciones a Root Squash, haga lo siguiente:
Seleccione Agregar dirección de cliente.
En el campo Direcciones de clientes, especifique la dirección IP de un cliente al que no se aplica root squash.
Repita el procedimiento según sea necesario para agregar más direcciones IP de clientes.
Elija Actualizar.
nota
Si la función root squash está habilitada y desea deshabilitarla, elija Deshabilitar en lugar de realizar los pasos 4 a 6.
Puede supervisar el progreso de la actualización en la página de información de los Sistemas de archivos, en la pestaña Actualizaciones.
Para actualizar la configuración de root squash para un sistema de ficheros FSx para Lustre existente, utilice el comando AWS CLI update-file-system. La operación de API correspondiente es UpdateFileSystem.
Establezca los siguientes parámetros:
-
Establezca
--file-system-iden el ID del sistema de archivos que va a actualizar. -
Establezca las opciones
--lustre-configuration RootSquashConfigurationde la siguiente manera:RootSquash: Establezca los valores UID:GID separados por dos puntos que especifican el ID de usuario y el ID de grupo que debe utilizar el usuario raíz. Puede especificar cualquier número entero en el rango de0–4294967294(0 es raíz) para cada ID. Para deshabilitar root squash, especifique0:0para los valores de UID:GID.NoSquashNids: especifique los identificadores de red (NID) de Lustre de los clientes a los que no se aplicará la característica root squash. Use[]para eliminar todos los NID de cliente, lo que significa que no habrá excepciones para root squash.
Este comando especifica que root squash está habilitado usando 65534 como valor para el ID de usuario y el ID de grupo del usuario raíz.
$ aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}
Si el comando tiene éxito, Amazon FSx para Lustre devuelve la respuesta en formato JSON.
Puede ver la configuración de root squash del sistema de archivos en el panel de Resumen de la página de detalles del sistema de archivos de la consola de Amazon FSx o en respuesta a un comando de describe-file-systems de la CLI (la acción de API equivalente es DescribeFileSystems).
