La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

GARR WS08 - Milano, 2-4 Aprile 2008 1 Grid Tutorial Parte 3 gLite e la LAN practicals Mario Reale GARR GRID GARR WS08-Milano-2-Aprile-2008.

Presentazioni simili


Presentazione sul tema: "GARR WS08 - Milano, 2-4 Aprile 2008 1 Grid Tutorial Parte 3 gLite e la LAN practicals Mario Reale GARR GRID GARR WS08-Milano-2-Aprile-2008."— Transcript della presentazione:

1 GARR WS08 - Milano, 2-4 Aprile 2008 1 Grid Tutorial Parte 3 gLite e la LAN practicals Mario Reale mario.reale@garr.it GARR GRID GARR WS08-Milano-2-Aprile-2008

2 GARR WS08 - Milano, 2-4 Aprile 2008 2 Contenuti 1. Porte da tenere aperte 2. NAT 3. Certificati –Server –CA files –VOMS public keys Installazione di un servizio gLite

3 GARR WS08 - Milano, 2-4 Aprile 2008 3 Porte da tenere aperte (1/5) Le porte da tenere aperte sono specifiche del servizio gLite considerato (CE, BD-II, WMS, WN, VOMS, UI…..) –Statiche e dinamiche Alcune sono configurabili –Attraverso YAIM –In file di configurazione specifici ( Condor,…) /opt/condor/etc/condor_config –Attraverso environment variables (Globus) Per molti servizi si raccomanda di aprire in outbound tutte le porte > 1023

4 GARR WS08 - Milano, 2-4 Aprile 2008 4 Porte da tenere aperte (2/5) Condor ( WMS, CE..) –COLLECTOR PORT 9618 TCP UDP (Condor Collector) –HIGHPORT 9700 TCP UDP –LOWPORT 9600 TCP, UDP Globus ( WMS, CE, SE, WN, …) gridFTP server –GLOBUS_TCP_PORT_RANGE=min,max env variable 20000,25000 TCP Incoming connections (nel caso server) –GLOBUS_TCP_SOURCE_RANGE=min,max env variable 20000,25000 TCP Outgoing connections (nel caso server) –gridFTP Control port 2811 TCP, UDP Una guida per Condor e Firewalls: http://www.escience.cam.ac.uk/projects/camgrid/firewall.html Una guida per Globus e Firewalls: http://www.globus.org/toolkit/docs/4.0/data/gridftp/user- index.html#id2535624

5 GARR WS08 - Milano, 2-4 Aprile 2008 5 La lista completa, dettagliata e aggiornata di tutte le porte usate da gLite per ogni servizio e’ disponibile su CVS al CERN org.glite.site-info.ports http://glite.cvs.cern.ch/cgi-bin/glite.cgi/org.glite.site- info.ports/doc/middleware-ports.txt?view=loghttp://glite.cvs.cern.ch/cgi-bin/glite.cgi/org.glite.site- info.ports/doc/middleware-ports.txt?view=log Porte da tenere aperte (3/5)

6 GARR WS08 - Milano, 2-4 Aprile 2008 6 Porte rilevanti per il glite-CE –2811, 5120, 2119, 9618 TCP UDP –15001-15005 TPC UDP (Torque/PBS) –33332 TCP UDP (Blah,LRMS) Porte rilevanti per il BD-II –2135, 2170 TCP UDP Porte rilevanti per il WMS server –2811, 7443, 5120, 8443 TCP UDP Porte rilevanti per il WN –15001-15005 TCP UDP (Torque/PBS) Porte da tenere aperte (4/5)

7 GARR WS08 - Milano, 2-4 Aprile 2008 7 Porte rilevanti per LB server –9000,9001, 9003 TCP UDP Porte rilevanti per LFC File Catalog –5010, 8085, 3306 TCP UDP Porte rilevanti per VOMS server –8443 TCP UDP –15001-15xxx TCP UDP a seconda della VO Porte rilevanti per DPM –5001, 2811, 20000-25000 TCP UDP Porte da tenere aperte (5/5)

8 GARR WS08 - Milano, 2-4 Aprile 2008 8 Grid e NAT WAN Sito A Sito B NAT CE WMS BD-II CE BD-II WNs 192.168.1.0 193.204.10.0 SE 193.221.23.0

9 GARR WS08 - Milano, 2-4 Aprile 2008 9 gLite e NAT In generale, nessun servizio globale di gLite puo’ stare dietro ad una NAT –Tutti nella DMZ L’eccezione sostanziale sono i (numerosi) Worker Nodes –Normalmente gridFTP configurata in Passive mode SRC istanzia tutta la comunicazione Il WN triggera il trasferimento dal WMS del Job Wrapper con il job, l’user proxy, gli eseguibili e le Sandbox

10 GARR WS08 - Milano, 2-4 Aprile 2008 10 Certificati e Sicurezza I meccanismi con cui si impementa la sicurezza di gLite in pratica implicano l’utilizzo sui servers di 3 cose: –Certificati server (host) INFN CA (EUGRIDPMA) –Chiavi pubbliche delle CA (CA files) che certificano utenti e servers ( lcg-CA files) –Certificato (chiave pubblica) dei VOMS server che vengono utilizzati dagli utenti delle VO che usano l’infrastruttura

11 GARR WS08 - Milano, 2-4 Aprile 2008 11 certificati server Certificano l’identita’ di un server in Grid –reverse DNS check –utilizzati da Globus GSI –Consentono la comunicazione sicura col server stesso Necessari su tutti i nodi gLite tranne: –Worker Nodes –BD-II Posizionati normalmente in –/etc/grid-security/cert-server.pem –/etc/grid-security/key-server.pem Handle with care !

12 GARR WS08 - Milano, 2-4 Aprile 2008 12 Chiavi pubbliche delle CA Servono a verificare le identita’ degli utenti e delle risorse –La CA firma i certificati utenti con la sua chiave privata Necessari su tutti i nodi gLite tranne il BD-II Posizionati normalmente in –/etc/grid-security/certificates Reperibili su: –http://linuxsoft.cern.ch/LCG-CAs/current/http://linuxsoft.cern.ch/LCG-CAs/current/ Make sure you have the updated ones !

13 GARR WS08 - Milano, 2-4 Aprile 2008 13 Chiave pubblica del VOMS server UI, CE, glite-WMS, lcg-RB hanno bisogno della chiave pubblica dei VOMS autorizzanti gli utenti per verificare l’identita’ del VOMS e istanziare una comunicaizone sicura con esso Posizionate normalmente in –/etc/grid-security/vomsdir

14 GARR WS08 - Milano, 2-4 Aprile 2008 14 Certificati gLite servHost certCA filesVOMS cert UI-SI WN-SI- WMS / RBSI CESI VOMSSI - LBSI BD-II---

15 GARR WS08 - Milano, 2-4 Aprile 2008 15 Certificati gLite servHost certCA filesVOMS cert MONSI - LFCSI - DPMSI - FTSSI - AMGASI - EDSSI -

16 GARR WS08 - Milano, 2-4 Aprile 2008 16 Installazione di un servizio gLite

17 GARR WS08 - Milano, 2-4 Aprile 2008 17 Installazione di gLite 3.1 (SLC4) Si verificano i pre-requisiti Si installa con yum ( o apt) Si configura con YAIM Informazioni e guide su –http://glite.web.cern.ch/glite/packages/R3.1/http://glite.web.cern.ch/glite/packages/R3.1/ WARNING: non tutti I servizi sono gia’ disponibili per gL 3.1 (porting a SLC4)

18 GARR WS08 - Milano, 2-4 Aprile 2008 18 Pre-requisiti e tools d’install/config Certificati server CA rpm files ( lcg-CA installabili con yum) NTP / time Java ( JDK 1.5.0_14 ) –wget http://ui2-4.dir.garr.it/java/jdk-1_5_0_14-linux-i586.rpm yum –Repositories YAIM –site-info.def –Files ausiliari –Guida d’installazione e configurazione su

19 GARR WS08 - Milano, 2-4 Aprile 2008 19 Installazione (es.UI) apt-get install yum (se non c’e’ yum) cd /etc/yum.repos.d/ wget -r -l1 -H -t1 -nd -N -np -erobots=off http://grid- deployment.web.cern.ch/grid0deployment/yaim/repos/http://grid- deployment.web.cern.ch/grid0deployment/yaim/repos/ yum install lcg-CA yum install glite-UI

20 GARR WS08 - Milano, 2-4 Aprile 2008 20 Configurazione (per.es.UI) Customize site-info.def /opt/glite/yaim/bin/yaim -c -v -s site-info.def -n glite-UI /opt/glite/yaim/bin/yaim -c -s site-info.def -n glite-UI

21 GARR WS08 - Milano, 2-4 Aprile 2008 21 Stato del porting (gL 3.1) a SLC4: https://twiki.cern.ch/twiki/bin/view/EGEE/Glite31NodeTracker


Scaricare ppt "GARR WS08 - Milano, 2-4 Aprile 2008 1 Grid Tutorial Parte 3 gLite e la LAN practicals Mario Reale GARR GRID GARR WS08-Milano-2-Aprile-2008."

Presentazioni simili


Annunci Google