Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoAnnabella Ruggeri Modificato 8 anni fa
1
IGI Portal Marco Bencivenni 08/07/2011 - CNAF
2
Argomenti trattati Portale General Purpose Aspetti di sicurezza IDP e CA online Job Management Ambiente di sviluppo Liferay license Workshop Portale IGI - Marco Bencivenni208/07/11
3
Obiettivi Creazione di un portale general purpose per: – accedere alla grid per sottomissione di job esclusivamente via web – semplificare la richiesta e gestione dei certificati X.509 e della registrazione ad una VO – richiedere via web la creazione di un ambiente cloud I primi 2 rimangono gli obiettivi primari, ma il portale potrebbe essere un centro di aggregazione di altri servizi: – gestioni delle policy argus – accesso ai dati di accounting Workshop Portale IGI - Marco Bencivenni308/07/11
4
Requisiti Massima semplicità possibile per l’utente Portale opensource Portale modulare Utilizzo di un proprio certificato, per chi lo possiede – Se un utente appartiene già ad una VO tramite il portale deve poter specificare l’utilizzo di quella VO e ruolo. Utilizzo di un certificato emesso da una CA-online, per chi non ne possiede già uno, nel modo più trasparente possibile – Possibilità di richiedere appartenenza ad una VO Possibilità di gestire workflow Creazione di viste ad hoc per comunità di utenti Dare la possibilità a comunità con particolari requisiti di avere campi di configurazione ad hoc per la sottomissione del job Possibilità di personalizzazione del jdl Workshop Portale IGI - Marco Bencivenni408/07/11
5
Architettura L’utilizzo di Liferay come framework Utilizzo di portlet per l’implementazione dei servizi Sistema di autenticazione esterno al portale mediante IDP della federazione IDEM Gestione di certificati personali emessi da una ca-online in modo trasparente (o quasi) all’utente Uso di altri servizi grid già in essere: VOMS, MyProxy,HLR- mon… Workshop Portale IGI - Marco Bencivenni508/07/11
6
Job submissio n VOMS Myproxy server voms-proxy-init myproxy-init Cloud bridge portlet (WNoDEs) GRID Cloud Si Firs access Advance d options Data managem ent Accountin g HLRmon Authent ication CA online (MICS) 1 2 3 IDP-IGI INFN-AAI IDP-n IDEM Liferay Portal CA Online Bridge SAML delegation
7
Autenticazione Il solo modo per accedere al portale è appartenere ad una federazione shibboleth riconosciuta. Al momento del login al portale l’utente potrà scegliere la propria federazione e quindi essere direzionato alla pagina di login di questa (ad esempio AAI per INFN). Ciascun IdP userà i propri metodi di autenticazione. IGI avrà un proprio IdP Shibboleth v.2 di cui potranno usufruire gli utenti che non hanno un account in un IDP IDEM (previa verifica dell’identità). Workshop Portale IGI - Marco Bencivenni708/07/11
8
Fase preliminare di accesso La prima volta che un utente accede al portale verranno registrate in un database una serie di informazioni legate all’utente. Le volte successive che l’utente accederà al portale sarà automaticamente riconosciuto e il portale interrogando il database prepara già quali sono le possibili opzioni del singolo utente. Questa fase è suddivisa in 4 step: – federazione di appartenenza, – inserimento dati personali, – caricamento/richiesta di un certificato e VO di appartenenza, – accettazione delle condizioni. In futuro l’utente potrà rivedere le info caricate e aggiungerne delle nuove dal pannello di gestione dati personali Workshop Portale IGI - Marco Bencivenni808/07/11
9
EGI Portal Policy - VO Portal Policy Portal Classes Portal ClassExecutableParametersInput Simple one-click provided by portal provided by portal Parameter provided by portal chosen from enumerable and limited set chosen from repository vetted by the portal Data processing provided by portal chosen from enumerable and limited set provided by user Job management provided by user provided by user Workshop Portale IGI - Marco Bencivenni908/07/11
10
Aspetti di sicurezza “Job Management Portal” (eseguibile, parametri e data input forniti dall’utente) Solo “Strongly Identified Web Users” (Credenziali X509 accreditate dalla Grid) Il portale deve rispettare il documento “Site Operations Policy” (e’ visto come un “sito”) Rispettare le richieste di logging e tracciabilita’ di “Grid Security Traceability and Logging Policy” Protection of private keys data for end users in local and remote systems EUGridPMA Workshop Portale IGI - Marco Bencivenni1008/07/11
11
IDP IGI Rivolto al personale IGI e a coloro che non appartengono alla federazione IDEM Installazione di un IDP shibboleth v.2 Accreditamento nella federazione IDEM – Rete di RA già in essere in molte delle università italiane – Anche AAI INFN è in fase di accreditamento in IDEM Workshop Portale IGI - Marco Bencivenni1108/07/11
12
CA Online Di tipo MICS – certificati di 13 mesi Accreditamento IGTF: da specificare il caso d’uso Progettazione – Accesso controllato al server, firewall, creazione del portale della CA online Mantenimento – Tempi di risposta in caso di incidente: 12 ore Workshop Portale IGI - Marco Bencivenni1208/07/11
13
Certificate Robot Semplicità di gestione Non possono essere utilizzati per un portale general purpose Limitazione al caricamento di propri eseguibili Demandare al portale per il recupero dell’associazione tra proxy e l’utente Problematica la gestione dello user accounting e del sistema di banning Workshop Portale IGI - Marco Bencivenni1308/07/11
14
Job submission – WS-Pgrade Tool open-source (Licenza Apache v.2) distribuito come una serie di portlet per liferay 6.x Possibilità di sottomissione ad un ambiente grid, cloud, cluster Compatibilità con gLite, UNICORE, ARC, Globus (EMI release in fase di test) Gestione di workflow con job di tipo sequential, MPI, parametrici Creazione di workflow specifici per applicazione e per gruppo di utenti, utilizzando un ambiente grafico Supporto di workflow di workflow (Triana, Taverna, Kepler …) Supporto di milioni di workflow contemporaneamente. Data management Monitoring e accounting system Workshop Portale IGI - Marco Bencivenni1408/07/11
15
Job submission - JSAGA SAGA is an API that provides the basic functionality required to build distributed applications, tools and frameworks; It is independent of the details of the underlying infrastructure (e.g., the middleware); SAGA is an OGF specification Several Implementations are available: A C++ and a Java implementation developed at the Louisiana State University / CCT and Vrije Universiteit Amsterdam; A Java implementation developed at CCIN2P3; SAGA is composed by: SAGA Core Libraries: containing the SAGA base system, the runtime and the API packages (file management, job management, etc.); SAGA Adaptors: libraries providing access to the underlying grid infrastructure (adaptors are available for Globus, gLite, etc.); Workshop Portale IGI - Marco Bencivenni1508/07/11
16
Cloud Portlet per permettere di definire le caratteristiche della macchina da istanziare via WNODES 2 possibili soluzioni – Interfaccia tra portale e web-application esterna – Integrazione della web-application nel portale Workshop Portale IGI - Marco Bencivenni1608/07/11
17
Ambiente di Sviluppo comune Liferay + Glassfish (utilizzati a Catania) Liferay + JBoss Liferay + Tomcat + Terracotta – Consigliato per soluzione con un numero di nodi >= 6 Workshop Portale IGI - Marco Bencivenni1708/07/11
18
Licenza Liferay Licenza Liferay EE per Server con al massimo 8 cores. Virtual machines sono contate come un server. Cluster locale o geografico – Una licenza per nodo Workshop Portale IGI - Marco Bencivenni1808/07/11
19
Azioni Creazione mailing-list: igi-portali@lists.infn.it Creazione pagine wiki: http://wiki.italiangrid.org/IGIPortal/ http://wiki.italiangrid.org/IGIPortal/ Creazione di un repository per le portlet sviluppate Workshop Portale IGI - Marco Bencivenni1908/07/11
20
References VO Portal Policy (https://documents.egi.eu/document/80)https://documents.egi.eu/document/80 Site Operations Policy (https://documents.egi.eu/document/75)https://documents.egi.eu/document/75 Grid Security Traceability and Logging Policy (https://documents.egi.eu/document/81)https://documents.egi.eu/document/81 Protection of private keys data for end users in local and remote systems EUGridPMA (www.eugridpma.org/guidelines/pkp/pk-protection-1.1-20100921.doc)www.eugridpma.org/guidelines/pkp/pk-protection-1.1-20100921.doc Protection of private keys data for end users in local and remote systems EUGridPMA (www.eugridpma.org/guidelines/pkp/pk-protection-1.1-20100921.pdf)www.eugridpma.org/guidelines/pkp/pk-protection-1.1-20100921.pdf SAGA: OGF specification: http://www.gridforum.org/documents/GFD.90.pdfhttp://www.gridforum.org/documents/GFD.90.pdf A C++ and a Java implementation developed at the Louisiana State University / CCT and Vrije Universiteit Amsterdam (http://saga.cct.lsu.edu);http://saga.cct.lsu.edu A Java implementation developed at CCIN2P3 (http://grid.in2p3.fr/jsaga/);http://grid.in2p3.fr/jsaga/ WS-Pgrade: https://sourceforge.net/projects/guse/https://sourceforge.net/projects/guse/ 08/07/11Workshop Portale IGI - Marco Bencivenni20
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.