Como o root squash funciona Como gerenciar root squash

root squash do Lustre

Root squash é um recurso administrativo que adiciona outra camada do controle de acesso a arquivos sobre o atual controle de acesso baseado em rede e as permissões de arquivo POSIX. Usando o recurso root squash, você pode restringir o acesso no nível raiz dos clientes que tentam acessar o sistema de arquivos do FSx para Lustre como raiz.

As permissões do usuário raiz são obrigatórias para realizar ações administrativas, como gerenciar permissões nos sistemas de arquivos do FSx para Lustre. No entanto, o acesso raiz fornece acesso irrestrito aos usuários, permitindo que eles ignorem as verificações de permissão para acessar, modificar ou excluir objetos do sistema de arquivos. Usando o recurso root squash, você pode impedir o acesso não autorizado ou a exclusão de dados especificando um ID de usuário não raiz (UID) e um ID de grupo (GID) para o sistema de arquivos. Os usuários raiz que acessam o sistema de arquivos serão automaticamente convertidos no usuário/grupo menos privilegiado especificado, com permissões limitadas definidas pelo administrador de armazenamento.

O recurso root squash também permite, opcionalmente, fornecer uma lista de clientes que não são afetados pela configuração do root squash. Esses clientes podem acessar o sistema de arquivos como raiz, com privilégios irrestritos.

Como o root squash funciona

O recurso root squash funciona remapeando o ID de usuário (UID) e o ID de grupo (GID) do usuário-raiz para um UID e GID especificados pelo administrador do sistema do Lustre. O recurso root squash também permite especificar opcionalmente um conjunto de clientes aos quais o remapeamento de UID/GID não se aplica.

Quando um sistema de arquivos do FSx para Lustre é criado, o root squash está desabilitado por padrão. Você o habilita definindo uma configuração de root squash UID e GID para seu sistema de arquivos do FSx para Lustre. Os valores UID e GID são números inteiros que podem variar de 0 a 4294967294.

Um valor diferente de zero para UID e GID habilita o root squash. Os valores UID e GID podem ser diferentes, mas cada um deve ser um valor diferente de zero.
Um valor 0 (zero) para UID e GID indica raiz e, portanto, desabilita o root squash.

Durante a criação do sistema de arquivos, você pode usar o console do Amazon FSx para fornecer os valores UID e GID do root squash na propriedade Root Squash, conforme apresentado em Para habilitar o root squash ao criar um sistema de arquivos (console). Você também pode usar o parâmetro RootSquash com o AWS CLI ou a API para fornecer os valores de UID e GID, conforme apresentado em Habilitar o root squash ao criar um sistema de arquivos (CLI).

Você também pode especificar uma lista de NIDs de clientes aos quais o root squash não se aplica. Um NID de cliente é um identificador de rede do Lustre usado para identificar um cliente de modo exclusivo. Você pode especificar o NID como endereço único ou um intervalo de endereços:

Um endereço único é descrito no formato NID padrão do Lustre especificando o endereço IP do cliente seguido pelo ID de rede do Lustre (por exemplo, 10.0.1.6@tcp)
Um intervalo de endereços é descrito usando um traço para separar o intervalo (por exemplo, 10.0.[2-10].[1-255]@tcp).
Se você não especificar nenhum NID de cliente, não haverá exceções ao root squash.

Ao criar ou atualizar seu sistema de arquivos, você pode usar a propriedade Exceções para Root Squash no console do Amazon FSx para fornecer a lista de NIDs de cliente. Na AWS CLI ou API, você usa o parâmetro NoSquashNids. Para obter mais informações, consulte os procedimentos em Como gerenciar root squash.

Como gerenciar root squash

Durante a criação do sistema de arquivos, o root squash fica desabilitado por padrão. Você pode habilitar o root squash ao criar um novo sistema de arquivos do Amazon FSx para Lustre no console, AWS CLI ou API do Amazon FSx.

Abra o console do Amazon FSx em https://console.aws.amazon.com/fsx/.
Siga o procedimento para a criação de um novo sistema de arquivos descrito na Etapa 1: criar o sistema de arquivos do FSx para Lustre na seção Conceitos básicos.
Abra a seção Root Squash - opcional.
Em Root Squash, forneça os IDs de usuário e grupo com os quais o usuário-raiz pode acessar o sistema de arquivos. Você pode especificar qualquer número inteiro no intervalo de 1 a 4294967294:
1. Em ID do usuário, especifique o ID do usuário para o usuário-raiz.
2. Em ID do grupo, especifique o ID do grupo que o usuário-raiz vai usar.
(Opcional) Em Exceções para Root Squash, faça o seguinte:
1. Escolha Adicionar endereço do cliente.
2. No campo Endereços do cliente, especifique o endereço IP de um cliente ao qual o root squash não se aplica. Para obter informações sobre o formato do endereço IP, consulte Como o root squash funciona.
3. Repita conforme necessário para adicionar mais endereços IP do cliente.
Conclua o assistente da forma como você faz quando cria um novo sistema de arquivos.
Selecione Review and create.
Analise as configurações escolhidas para o sistema de arquivos do Amazon FSx para Lustre e, em seguida, escolha Criar sistema de arquivos.

Quando o sistema de arquivos estiver Disponível, o root squash estará habilitado.

Para criar um sistema de arquivos do FSx para Lustre com o root squash habilitado, use o comando da CLI create-file-system do Amazon FSx com o parâmetro RootSquashConfiguration. A operação de API correspondente é CreateFileSystem.

Para o parâmetro RootSquashConfiguration, defina as seguintes opções:
- RootSquash: os valores UID:GID separados por dois pontos que especificam o ID do usuário e o ID do grupo para o usuário raiz. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294 (0 é raiz) para cada ID (por exemplo, 65534:65534).
- NoSquashNids: especifique os identificadores de rede (NIDs) do Lustre dos clientes aos quais o root squash não se aplica. Para obter informações sobre o formato do NID do cliente, consulte Como o root squash funciona.
O exemplo a seguir cria um sistema de arquivos do FSx para Lustre com o root squash habilitado:
```
$ aws fsx create-file-system \
      --client-request-token CRT1234 \
      --file-system-type LUSTRE \
      --file-system-type-version 2.15 \
      --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
          RootSquashConfiguration={RootSquash="65534:65534",\
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
      --storage-capacity 2400 \
      --subnet-ids subnet-123456 \
      --tags Key=Name,Value=Lustre-TEST-1 \
      --region us-east-2
```

Após criar o sistema de arquivos com êxito, o Amazon FSx retorna a descrição do sistema de arquivos como JSON, conforme mostrado no exemplo a seguir.


{

    "FileSystems": [
        {
            "OwnerId": "111122223333",
            "CreationTime": 1549310341.483,
            "FileSystemId": "fs-0123456789abcdef0",
            "FileSystemType": "LUSTRE",
            "FileSystemTypeVersion": "2.15",
            "Lifecycle": "CREATING",
            "StorageCapacity": 2400,
            "VpcId": "vpc-123456",
            "SubnetIds": [
                "subnet-123456"
            ],
            "NetworkInterfaceIds": [
                "eni-039fcf55123456789"
            ],
            "DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
            "ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
            "Tags": [
                {
                    "Key": "Name",
                    "Value": "Lustre-TEST-1"
                }
            ],
            "LustreConfiguration": {
                "DeploymentType": "PERSISTENT_2",
                "DataCompressionType": "LZ4",
                "PerUnitStorageThroughput": 250,
                "RootSquashConfiguration": {
                    "RootSquash": "65534:65534", 
                    "NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
            }
        }
    ]
}

Você também pode atualizar as configurações do root squash do seu sistema de arquivos existente usando o console, a AWS CLI ou a API do Amazon FSx. Por exemplo, você pode alterar os valores UID e GID do root squash, adicionar ou remover NIDs do cliente ou desabilitar o root squash.

Abra o console do Amazon FSx em https://console.aws.amazon.com/fsx/.
Acesse Sistemas de arquivos e escolha o sistema de arquivos do Lustre para o qual deseja gerenciar o root squash.
Em Ações, escolha Atualizar root squash. Como alternativa, no painel Resumo, escolha Atualizar ao lado do campo Root Squash do sistema de arquivos para exibir a caixa de diálogo Atualizar configurações do Root Squash.
Em Root Squash, atualize os IDs de usuário e grupo com os quais o usuário-raiz pode acessar o sistema de arquivos. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294. Para desabilitar o root squash, especifique 0 (zero) para os dois IDs.
1. Em ID do usuário, especifique o ID do usuário para o usuário-raiz.
2. Em ID do grupo, especifique o ID do grupo que o usuário-raiz vai usar.
Em Exceções para Root Squash, faça o seguinte:
1. Escolha Adicionar endereço do cliente.
2. No campo Endereços do cliente, especifique o endereço IP de um cliente ao qual o root squash não se aplica.
3. Repita conforme necessário para adicionar mais endereços IP do cliente.
Selecione Atualizar.

nota
Se o root squash estiver habilitado e você quiser desabilitá-lo, escolha Desabilitar em vez de executar as etapas 4 a 6.

Você pode monitorar o progresso da atualização na página de detalhes dos sistemas de arquivos na guia Atualizações.

Para atualizar as configurações do root squash de um sistema de arquivos do FSx para Lustre existente, use o comando update-file-system da AWS CLI. A operação de API correspondente é UpdateFileSystem.

Defina os seguintes parâmetros:

Defina --file-system-id como o ID do sistema de arquivos que está sendo atualizado.
Defina as opções --lustre-configuration RootSquashConfiguration desta forma:
- RootSquash: defina os valores UID:GID separados por dois pontos que especificam o ID do usuário e o ID do grupo para o usuário raiz. Você pode especificar qualquer número inteiro no intervalo de 0 a 4294967294 (0 é raiz) para cada ID. Para desabilitar o root squash, especifique 0:0 para os valores UID:GID.
- NoSquashNids: especifique os identificadores de rede (NIDs) do Lustre dos clientes aos quais o root squash não se aplica. Use [] para remover todos os NIDs de cliente, o que significa que não haverá exceções ao root squash.

Esse comando especifica que o root squash é habilitado usando 65534 como valor para o ID do usuário e o ID do grupo do usuário raiz.


$ aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
          NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}

Se o comando ocorrer com êxito, o Amazon FSx para Lustre retornará a resposta no formato JSON.

Você pode visualizar as configurações do root squash do seu sistema de arquivos no painel Resumo da página de detalhes do sistema de arquivos no console do Amazon FSx ou na resposta de um comando describe-file-systems da CLI (a ação equivalente da API é DescribeFileSystems).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Compactação de dados

Status do sistema de arquivos

root squash do Lustre

Tópicos

Como o root squash funciona

Como gerenciar root squash

nota