AFS/OpenAFS als Cluster-Dateisystem (?)



Ähnliche Dokumente
Evaluierung von AFS/OpenAFS als Clusterdateisystem

AFS / OpenAFS. Bastian Steinert. Robert Schuppenies. Präsentiert von. Und

Michael Flachsel. Das SAN an der TUB. Aufbau und Funktion. 15. November 2007

Verteilte Dateisysteme

Server: Vice nach Tanenbaum, van Steen

AFS Administration. Markus Köberl 17. März 2012

Das Kerberos-Protokoll

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

peer-to-peer Dateisystem Synchronisation

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Installationsanleitung für pcvisit Server (pcvisit 12.0)

2 Datei- und Druckdienste

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Windows Integration. von Tino Truppel

Netzwerk-Fileservices am RUS

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Verwendung des IDS Backup Systems unter Windows 2000

DataBackup / DataReplication

OpenAFS. Das weltweite Filesystem. L.Schimmer Institut für ComputerGraphik & WissensVisualisierung

Daten-Synchronisation zwischen Mozilla Thunderbird (Lightning) / Mozilla Sunbird und dem ZDV Webmailer

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Firewalls für Lexware Info Service konfigurieren

IMAP und POP. Internet Protokolle WS 12/13 Niklas Teich Seite 1

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Kerberos: Prinzip und Umsetzung. Sascha Klopp

MailUtilities: Remote Deployment - Einführung

SECURE DOWNLOAD MANAGER

Datenabgleich zwischen Hauptfiliale (Firmennetzwerk) und Nebenfiliale (Notebook)

Software-Engineering Grundlagen des Software-Engineering 7.3 Sourcecode-Verwaltung mit Versionsmanagement-Systemen Einführung in Subversion (SVN)

Installationsanleitung SSL Zertifikat

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

POP3-Protokoll Eine kurze Erklärung. Johannes Mayer SAI, Universität Ulm Juni 2001

INSTALLATIONSANLEITUNG

KURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE

Lizenzen auschecken. Was ist zu tun?

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

HOWTO Update von MRG1 auf MRG2 bei gleichzeitigem Update auf Magento CE 1.4 / Magento EE 1.8

Secure Download Manager Übersichtsleitfaden Vertraulich Version 2.2

Powermanager Server- Client- Installation

Verwenden von Adobe LiveCycle ES3 Connector für Microsoft SharePoint

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Installationsanleitung für pcvisit Server (pcvisit 15.0)

Comtarsia SignOn Familie

Verteiltes Persistenz-System. Mykhaylo Kabalkin

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

PHPNuke Quick & Dirty

Installation des GeoShop Redirector für Apache (Stand ) ================================================================

Installationsanleitung unter Windows

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

LabTech RMM. Integration von Teamviewer. Vertraulich nur für den internen Gebrauch

DocuWare unter Windows 7

VERWENDEN VON ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES CONNECTOR FÜR MICROSOFT SHAREPOINT 10.0

Software-Lizenzierung und Aktivierung: Verteilen von Software mit Apple Remote Desktop

Bedienungsanleitung für den Dokumentenserver

Leitfaden Datensicherung und Datenrücksicherung

Anwenderleitfaden Citrix. Stand Februar 2008

Persönliches Adressbuch

WEKA Handwerksbüro PS Mehrplatzinstallation

Stock and Order Management

PCC Outlook Integration Installationsleitfaden

Avira Management Console Optimierung für großes Netzwerk. Kurzanleitung

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

OP-LOG

Firewalls für Lexware Info Service konfigurieren

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Tutorial Windows XP SP2 verteilen

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Um über FTP Dateien auf Ihren Public Space Server - Zugang laden zu können benötigen Sie folgende Angaben:

COSA. Portal Client Installation JAVA J2SE / JRE Version 1.4.2_09, Stand Copyright

Websites mit Dreamweaver MX und SSH ins Internet bringen

Parallels Mac Management 3.5

SFTP SCP - Synology Wiki

OpenMAP WEBDrive Konfiguration. Oxinia GmbH , Version 1

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Datenumzug mit dem Datenumzugsassistenten

iphone app - Anwesenheit

TimeSafe Installationsanleitung mit InfotechStart

Einrichten der Outlook-Synchronisation

Windows Server 2012 R2 Essentials & Hyper-V

FileLock FLEXIBLE SKALIERBARE KOSTENEFFIZIENTE HARDWARE- UNABHÄNGIGE LÖSUNGEN ZUR LANG-ZEIT DATENARCHIVIERUNG YOUR DATA.

Überprüfung der digital signierten E-Rechnung

TSM-Migration Hermann Frasch Markus Bader

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Auto-Provisionierung tiptel 30x0 mit Yeastar MyPBX

BMW TREUE SERVICE. SRP MARKETING MODUL. ANLEITUNG ZUM EINSPIELEN DER LEUCHTTURMKAMPAGNEN IN DIE KSD.

KEIL software. Inhaltsverzeichnis UPDATE. 1. Wichtige Informationen 1.1. Welche Änderungen gibt es?

Windows Server 2008 für die RADIUS-Authentisierung einrichten

NbI-HS. NbIServ Bethenhausen Bethenhausen

Systemausgabe des Capture Pro Software FTP-Servers

Formular»Fragenkatalog BIM-Server«

Transkript:

als Cluster-Dateisystem (?) Sebastian Heidl <heidl@zib.de>

Plan Einführung, Historisches Überblick, Benutzung Sicherheit Funktionsweise

AFS verteiltes Dateisystem auf Client/Server Basis geeignet/konzipiert für LANs und WANs ausgefeiltes Authentisierungssystem basierend auf Kerberos und ACLs Caches für Reduktion der Zugriffszeit und Netzlast Clients und Server verfügbar für diverse UNIXe, Win9x, WinNT

Historie basiert auf Projekt für verteiltes Dateisystem der CMU Andrew File System 1989: Transarc Corp. wurde für Vermarktung und Weiterentwicklung von AFS gegründet Andrew fiel weg, AFS und /afs blieben ebenfalls 1989: Transarc wird von IBM gekauft 09/2000 IBM (Transarc) macht Zweig von AFS OpenSource OpenAFS

AFS Struktur Sebastian Heidl client server server Cell B client Cell A client client server client Cell C server

Überblick Zellen sind administrative Einheiten Zelle kann mehrere Server umfassen Daten können auf mehrere Server repliziert und verteilt werden Clients können mehreren Zellen angehören umfangreiche Rechteverwaltung über ACLs Authentisierung über Kerberos

Benutzung Nutzer meldet sich am System an und erhält automatisch ein AFS-Token (siehe Kerberos) AFS-Space wird auf /afs gemountet nächste Verzeichnisebene ist der Name der Zelle (/afs/cluster.inf.fu-berlin.de/) entfernte Zellen werden ebenfalls unter /afs gemountet (z.b. /afs/transarc.com/) aktueller Speicherort der Daten innerhalb einer Zelle ist transparent (SSI)

Sicherheit Authentisierung über Kerberos (mutual authentication) nach der Authentisierung Nutzung der normalen UNIX Kommandos und Systemrufe verzeichnisorientierte Rechtevergabe durch ACLs Daten sind nicht verschlüsselt

Kerberos Kerberos : dreiköpfiger Wachhund von Hades gegenseitige Authentisierung von Clients und Services über ein unsicheres Netzwerk entwickelt am MIT im Rahmen von Projekt Athena Nutzer soll sich nur einmal authentisieren keine ungeschützte Übertragung von Authentisierungsinformationen

Kerberos - Benutzung jeder Nutzer und jeder Service hat einen eigenen privaten Schlüssel alle Schlüssel liegen zusätzlich in der Kerberos DB Nutzer benötigt spezifisches Ticket, um Service zu benutzen Tickets werden vom Ticket-Granting Service ausgestellt Tickets haben eine bestimmte Lebenszeit

Kerberos - Systemüberblick Sebastian Heidl Kerberos Database Key Distribution Center Ticket Granting Service 1 3 Print Service 2 Client 4 File Service 1. ticket-granting Ticket vom KDC holen 2. Ticket für Service vom TGS holen 3. Ticket für Service benutzen 4. neues Ticket vom TGS holen und benutzen

Kerberos - Authentisierung 1. Client (user) holt sich TGS-Ticket vom KDC: C KDC: ticket request user addr nonce KDC C: TGS ticket TGSkey user addr service timestamp lifespan sessionkey 2. Service-Ticket vom TGS besorgen: C TGS: TGS C: service nonce Service Ticket Authenticator sessionkey user addr timestamp User Info sessionkey new sessionkey TGS Ticket User Info userkey sessionkey nonce service timestamp lifespan nonce service timestamp lifespan 3. neuen Authentikator erzeugen und mit dem Ticket zum Server schicken, ordnungsgemäße Antwort abwarten und Service nutzen

AFS - Access Control Lists (ACLs) jeder Nutzer bekommt AFS-UID drei vordefinierte Gruppen: system:anyuser, system:authuser, system:administrators steuern Zugriff auf Verzeichnisse und die enthaltenen Dateien können AFS-UIDs und AFS-Groups enthalten Verzeichnisrechte: lookup, insert, delete, administer Dateirechte: read, write, lock

Interpretation der UNIX Zugriffsrechte Sebastian Heidl mode-bits der Verzeichnisse werden ignoriert für Dateien sind nur User-Bits relevant r und w sollten mit den AFS Rechten rl und wl kombiniert werden nur system:administrators können S-Bit modifizieren Zugriff von SUID-Programmen auf den AFS-Space erfolgt mit real-uid Ausführung von SUID-Files kann verboten werden

AFS-Server Rollen Simple File Server Machine: stellt lokale Partitionen für den AFS-Space zur Verfügung und speichert die Daten Binary Distribution Machine: verteilt die AFS-Server binaries auf die anderen Server System Control Machine: verteilt die AFS Konfigurationsdateien auf die anderen Server Database Server Machine: hält eine lokale Kopie der AFS-Datenbanken (s.u.)

AFS-Server Sebastian Heidl AFS Server File Server Database Server Simple File Server Machine Binary Distribution Machine Protection Database Volume Location Database System Control Machine Authentication Database Backup Database

AFS-File-Server bekommt eine oder mehrere lokale Partitionen zugeteilt (max. 256) Partitionen müssen funktionierendes Dateisystem beinhalten z.z. Dateigröße auf 2GB beschränkt Dateien können nicht gestriped werden max. 255 File-Server in einer Zelle

Volumes Organisationseinheit für die Daten max. 8GB groß müssen in eine Partition passen (kein striping) read-write, read-only und backup Volumes können online zwischen Partitionen und Servern bewegt und repliziert werden

Volumes (2) Sebastian Heidl werden auf Verzeichnisse gemountet Replikation und Bewegen ist für Nutzer transparent Replikation erzeugt automatisch read-only Volume Replizierte Volumes müssen manuell released werden. bei Serverausfall greifen die Clients automatisch auf replizierte Volumes auf anderen Servern zu

Backup Volumes Snapshot des aktuellen Zustandes eines Volumes werden in Volume Sets zusammengefaßt nur Verweise auf die Daten des Volumes bei Änderungen am Original Volume alte Daten ins Backup irgendwann wird Backup Volume zum Tape Coordinator gedumped vollständige oder inkrementelle Dumps

Volumes bewegen Arbeit der Clients wird typically in the order of a few seconds unterbrochen Dump (Kopie) des Volumes machen und am neuen Ort installieren Volume locken und inkrementellen Dump anwerfen inkrementellen Dump auf Ziel installieren Original Volume löschen

AFS-Datenbank-Server führt Manager für die vier DBs aus: kaserver: Kerberos-Authentisierung, Tickets ausgeben ptserver: Mapping von Kerberos-Principals auf AFS-IDs, ACL Verwaltung vlserver: Verwaltung der Volume Location Database buserver: Backup Volume Sets, Tape Coordinator, dump hierarchy...

AFS-Datenbank-Server (2) Sebastian Heidl mehrere DB-Server können Ausfallsicherheit erhöhen DB-Synchronisation über Ubik Protokoll: DB-Server wählen coordinator für jede DB coordinator läuft auf synchronization site nur synchronization sites nehmen Änderungen von Clients entgegen sync. site kann auf andere Maschine migrieren (voting) andere (secondary) sites nehmen nur von sync. site Änderungen an

Cache Management Sebastian Heidl Clients führen mehrere Instanzen des Cache Managers (afsd) aus Memory- oder Disk-Cache eigentlich nur Lese-Cache (write-through) immer Chunks einer festen Größe übertragen File Server liefern Callbacks mit Dateien aktiviert, falls ein Anderer schreibt Authentisierungsinfo und Volume-Info ebenfalls gecached

Wie funktioniert s denn nun? client node File Server Database Server $ cat /afs/cell/readm E 1 5 3 File Server 4 Protection Server Cache Manager 2 Volume Location Server

Integration in Linux Kernel Modul für 2.2.x, 2.4.x diverse Binaries zur Administration Integration in Bootprozeß und Loginprozeß möglich

AFS Konfiguration für Linux Server Client binaries /usr/afs/bin /usr/vice/etc config usr/afs/etc /usr/vice/etc ThisCell CellServDB ThisCell CellServDB cacheinfo

Quellen Sebastian Heidl AFS: Kerberos: http://www.openafs.org http://oss.software.ibm.com/developerworks/opensource/afs/ http://www.transarc.ibm.com/ http://www.angelfire.com/hi/plutonic/afs-faq.html Zayas, E., AFS-3 Programmer s Reference: Architectural Overview http://web.mit.edu/kerberos/www http://web.mit.edu/kerberos/www/dialogue.html RFC-1510: The Kerberos Network Authentication Service (V5)