Testbetrieb - Dateistruktur: Unterschied zwischen den Versionen
Aus HPC@HU
(→Zugriffsrechte:: Einleitung erweitert) |
|||
Zeile 43: | Zeile 43: | ||
Im nächsten Schritt werden berechtigen Nutzern über die ACLs Zugriffsrechte eingeräumt - der Gruppe bleibt hierbei weiter der Zugriff auf der POSIX-Basis verwehrt. | Im nächsten Schritt werden berechtigen Nutzern über die ACLs Zugriffsrechte eingeräumt - der Gruppe bleibt hierbei weiter der Zugriff auf der POSIX-Basis verwehrt. | ||
Anmerkung: Sollte die Vertraulichkeit von Daten eine Einschränkung der Zugriffsrechte erfordern, sollte im Allgemeinen minimalste Rechte eingeräumt werden. So wenige wie möglich, so viele wie erforderlich. Andererseits ist ein konventionelles HPC-Cluster nicht für hochsensible Daten ausgelegt. In diesem Fall bitten wir darum dass mit dem HPC-Team unter hpc-suppport@hu-berlin.de Kontakt aufgenommen wird um eventuelle Lösungsansätze zu besprechen. | Anmerkung: Sollte die Vertraulichkeit von Daten eine Einschränkung der Zugriffsrechte erfordern, sollte im Allgemeinen minimalste Rechte eingeräumt werden. So wenige wie möglich, so viele wie erforderlich. Andererseits ist ein konventionelles HPC-Cluster nicht für hochsensible Daten ausgelegt. In diesem Fall bitten wir darum dass mit dem HPC-Team unter [mailto:hpc-suppport@hu-berlin.de hpc-suppport@hu-berlin.de] Kontakt aufgenommen wird um eventuelle Lösungsansätze zu besprechen. | ||
==== Zugriff: ==== | ==== Zugriff: ==== |
Version vom 27. Juni 2024, 07:51 Uhr
Dateistruktur:
Im Rahmen des Testbetriebs sind die endgültigen Dateipfade sowie die endgültigen Dateisysteme noch nicht vollständig konfiguriert.
Langfristig wird ein Lustre als zentrales "scratch" bereitgestellt, dieses ist aber aktuell noch nicht verfügbar.
Im Testbetrieb sind folgende Laufwerke verfügbar:
/mnt
als lokaler scratch (1TB, bitte nicht 'zumüllen' und das Löschen von temporären Dateien im Script einplanen!)
/globalscratch
als Netzwerklaufwerk welches von mehreren Virtuellen Maschinen gleichzeitig erreicht werden kann (langsame Leistung)
Im Testbetrieb sollten Berechnungen überwiegend im lokalen Scratch laufen. Sprich, eine Berechnung wird in /mnt ausgeführt und am Ende des Jobs sollte das Ergebnis auf /globalscratch kopiert werden.
An einer Lôsung der Verwaltung des temporären scratch wird gearbeitet.
Zugriffsrechte:
Typisch für ein klassisches SLURM cluster, werden die regulären UNIX Rechte und Gruppen eingesetzt. Diese ermöglichen es Ordner auf dem geteilten Laufwerk nur für bestimmte Nutzer und Gruppen freizugeben. Allerdings ist die regulären Linux Rechteverwaltung hier in Bezug auf eine detaillierte Rechteverteilung stak eingeschränkt. (Da es nicht praktisch möglich ist für alle möglichen Kombinationen dedizierte Gruppen anzulegen.)
Eine feinere Rechteverwaltung, sofern notwendig ist über Access Control Lists (ACL) möglich.
In der der aktuellen Implementierung lassen sich diese über nfs4_getfacl
in Erfahrung bringen, über nf4_setfacl
setzen und über nfs4_editfacl
editieren.
-- aktuell ist dieser Teil noch in Arbeit --
Es ist möglich die Rechte über den Benutzernamen zu setzen, dabei muss dieser als benutzername@localdomain
eingegeben werden.
Alternativ kann die ID des Nutzers oder einer Gruppe genutzt werden, welche sich über id -u benutzername
oder getent group gruppenname
abfragen lassen.
Leserechte für eine Datei liesen sich wie folgt setzen:
nfs4_setfacl -a "A::benutzername@localdomain:RX" test_datei
Rechte lassen sich ebenfalls rekursiv setzen, wodurch alle Dateien und Ordner abgedeckt sind, mit den Optionen d
und f
werden die Zugriffsrechte auf neu erstellte Dateien und Unterverzeichnisse vererbt.
nfs4_setfacl -R -a "A:df:benutzername@localdomain:rx" pfad_zur/test_datei
Weiterführende Informationen zu Access Control Lists inklusive einer Erklärung der "flags" finden sich auf der Seite des Ohio Supercomputing Centre: https://www.osc.edu/book/export/html/4523
Sollte es notwendig sein die Zugriffsrechte auf spezifische Benutzer (und nicht nur einen Fachbereich) zu begrenzen wird folgender Vorgang empfohlen:
Die regulären UNIX/POSIX-Rechte werden auf den Eigentümer reduziert, ohne Zugriffsrechte für die Gruppe oder Welt. Dies entspräche einem r-x------
(500) oder rwx------
(700). Das Aufzeigen von Inhalten in Ordnern erfordert hierbei die Ausführungsrechte (x
). Für Dateien welche nicht ausgeführt werden reichen Lese- und Schreibrechte (r--
/ rw-
).
Im nächsten Schritt werden berechtigen Nutzern über die ACLs Zugriffsrechte eingeräumt - der Gruppe bleibt hierbei weiter der Zugriff auf der POSIX-Basis verwehrt.
Anmerkung: Sollte die Vertraulichkeit von Daten eine Einschränkung der Zugriffsrechte erfordern, sollte im Allgemeinen minimalste Rechte eingeräumt werden. So wenige wie möglich, so viele wie erforderlich. Andererseits ist ein konventionelles HPC-Cluster nicht für hochsensible Daten ausgelegt. In diesem Fall bitten wir darum dass mit dem HPC-Team unter hpc-suppport@hu-berlin.de Kontakt aufgenommen wird um eventuelle Lösungsansätze zu besprechen.
Zugriff:
Der Zugriff auf das Dateisystem erfolgt über sftp (ftp ûber ssh) aus dem Netz der Humboldt Universität heraus.
Die ist unter Windows mit WinScp ( https://winscp.net/ ) möglich - auch in Verbindung mit putty ( https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html ) für die Befehlszeile - und wird unter Linux im Plasma Desktop nativ von Dolphin unterstützt.