Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoAmedeo Pisani Modificato 8 anni fa
1
GARR WS08 - Milano, 2-4 Aprile 2008 1 Grid Tutorial Parte 3 gLite e la LAN practicals Mario Reale mario.reale@garr.it GARR GRID GARR WS08-Milano-2-Aprile-2008
2
GARR WS08 - Milano, 2-4 Aprile 2008 2 Contenuti 1. Porte da tenere aperte 2. NAT 3. Certificati –Server –CA files –VOMS public keys Installazione di un servizio gLite
3
GARR WS08 - Milano, 2-4 Aprile 2008 3 Porte da tenere aperte (1/5) Le porte da tenere aperte sono specifiche del servizio gLite considerato (CE, BD-II, WMS, WN, VOMS, UI…..) –Statiche e dinamiche Alcune sono configurabili –Attraverso YAIM –In file di configurazione specifici ( Condor,…) /opt/condor/etc/condor_config –Attraverso environment variables (Globus) Per molti servizi si raccomanda di aprire in outbound tutte le porte > 1023
4
GARR WS08 - Milano, 2-4 Aprile 2008 4 Porte da tenere aperte (2/5) Condor ( WMS, CE..) –COLLECTOR PORT 9618 TCP UDP (Condor Collector) –HIGHPORT 9700 TCP UDP –LOWPORT 9600 TCP, UDP Globus ( WMS, CE, SE, WN, …) gridFTP server –GLOBUS_TCP_PORT_RANGE=min,max env variable 20000,25000 TCP Incoming connections (nel caso server) –GLOBUS_TCP_SOURCE_RANGE=min,max env variable 20000,25000 TCP Outgoing connections (nel caso server) –gridFTP Control port 2811 TCP, UDP Una guida per Condor e Firewalls: http://www.escience.cam.ac.uk/projects/camgrid/firewall.html Una guida per Globus e Firewalls: http://www.globus.org/toolkit/docs/4.0/data/gridftp/user- index.html#id2535624
5
GARR WS08 - Milano, 2-4 Aprile 2008 5 La lista completa, dettagliata e aggiornata di tutte le porte usate da gLite per ogni servizio e’ disponibile su CVS al CERN org.glite.site-info.ports http://glite.cvs.cern.ch/cgi-bin/glite.cgi/org.glite.site- info.ports/doc/middleware-ports.txt?view=loghttp://glite.cvs.cern.ch/cgi-bin/glite.cgi/org.glite.site- info.ports/doc/middleware-ports.txt?view=log Porte da tenere aperte (3/5)
6
GARR WS08 - Milano, 2-4 Aprile 2008 6 Porte rilevanti per il glite-CE –2811, 5120, 2119, 9618 TCP UDP –15001-15005 TPC UDP (Torque/PBS) –33332 TCP UDP (Blah,LRMS) Porte rilevanti per il BD-II –2135, 2170 TCP UDP Porte rilevanti per il WMS server –2811, 7443, 5120, 8443 TCP UDP Porte rilevanti per il WN –15001-15005 TCP UDP (Torque/PBS) Porte da tenere aperte (4/5)
7
GARR WS08 - Milano, 2-4 Aprile 2008 7 Porte rilevanti per LB server –9000,9001, 9003 TCP UDP Porte rilevanti per LFC File Catalog –5010, 8085, 3306 TCP UDP Porte rilevanti per VOMS server –8443 TCP UDP –15001-15xxx TCP UDP a seconda della VO Porte rilevanti per DPM –5001, 2811, 20000-25000 TCP UDP Porte da tenere aperte (5/5)
8
GARR WS08 - Milano, 2-4 Aprile 2008 8 Grid e NAT WAN Sito A Sito B NAT CE WMS BD-II CE BD-II WNs 192.168.1.0 193.204.10.0 SE 193.221.23.0
9
GARR WS08 - Milano, 2-4 Aprile 2008 9 gLite e NAT In generale, nessun servizio globale di gLite puo’ stare dietro ad una NAT –Tutti nella DMZ L’eccezione sostanziale sono i (numerosi) Worker Nodes –Normalmente gridFTP configurata in Passive mode SRC istanzia tutta la comunicazione Il WN triggera il trasferimento dal WMS del Job Wrapper con il job, l’user proxy, gli eseguibili e le Sandbox
10
GARR WS08 - Milano, 2-4 Aprile 2008 10 Certificati e Sicurezza I meccanismi con cui si impementa la sicurezza di gLite in pratica implicano l’utilizzo sui servers di 3 cose: –Certificati server (host) INFN CA (EUGRIDPMA) –Chiavi pubbliche delle CA (CA files) che certificano utenti e servers ( lcg-CA files) –Certificato (chiave pubblica) dei VOMS server che vengono utilizzati dagli utenti delle VO che usano l’infrastruttura
11
GARR WS08 - Milano, 2-4 Aprile 2008 11 certificati server Certificano l’identita’ di un server in Grid –reverse DNS check –utilizzati da Globus GSI –Consentono la comunicazione sicura col server stesso Necessari su tutti i nodi gLite tranne: –Worker Nodes –BD-II Posizionati normalmente in –/etc/grid-security/cert-server.pem –/etc/grid-security/key-server.pem Handle with care !
12
GARR WS08 - Milano, 2-4 Aprile 2008 12 Chiavi pubbliche delle CA Servono a verificare le identita’ degli utenti e delle risorse –La CA firma i certificati utenti con la sua chiave privata Necessari su tutti i nodi gLite tranne il BD-II Posizionati normalmente in –/etc/grid-security/certificates Reperibili su: –http://linuxsoft.cern.ch/LCG-CAs/current/http://linuxsoft.cern.ch/LCG-CAs/current/ Make sure you have the updated ones !
13
GARR WS08 - Milano, 2-4 Aprile 2008 13 Chiave pubblica del VOMS server UI, CE, glite-WMS, lcg-RB hanno bisogno della chiave pubblica dei VOMS autorizzanti gli utenti per verificare l’identita’ del VOMS e istanziare una comunicaizone sicura con esso Posizionate normalmente in –/etc/grid-security/vomsdir
14
GARR WS08 - Milano, 2-4 Aprile 2008 14 Certificati gLite servHost certCA filesVOMS cert UI-SI WN-SI- WMS / RBSI CESI VOMSSI - LBSI BD-II---
15
GARR WS08 - Milano, 2-4 Aprile 2008 15 Certificati gLite servHost certCA filesVOMS cert MONSI - LFCSI - DPMSI - FTSSI - AMGASI - EDSSI -
16
GARR WS08 - Milano, 2-4 Aprile 2008 16 Installazione di un servizio gLite
17
GARR WS08 - Milano, 2-4 Aprile 2008 17 Installazione di gLite 3.1 (SLC4) Si verificano i pre-requisiti Si installa con yum ( o apt) Si configura con YAIM Informazioni e guide su –http://glite.web.cern.ch/glite/packages/R3.1/http://glite.web.cern.ch/glite/packages/R3.1/ WARNING: non tutti I servizi sono gia’ disponibili per gL 3.1 (porting a SLC4)
18
GARR WS08 - Milano, 2-4 Aprile 2008 18 Pre-requisiti e tools d’install/config Certificati server CA rpm files ( lcg-CA installabili con yum) NTP / time Java ( JDK 1.5.0_14 ) –wget http://ui2-4.dir.garr.it/java/jdk-1_5_0_14-linux-i586.rpm yum –Repositories YAIM –site-info.def –Files ausiliari –Guida d’installazione e configurazione su
19
GARR WS08 - Milano, 2-4 Aprile 2008 19 Installazione (es.UI) apt-get install yum (se non c’e’ yum) cd /etc/yum.repos.d/ wget -r -l1 -H -t1 -nd -N -np -erobots=off http://grid- deployment.web.cern.ch/grid0deployment/yaim/repos/http://grid- deployment.web.cern.ch/grid0deployment/yaim/repos/ yum install lcg-CA yum install glite-UI
20
GARR WS08 - Milano, 2-4 Aprile 2008 20 Configurazione (per.es.UI) Customize site-info.def /opt/glite/yaim/bin/yaim -c -v -s site-info.def -n glite-UI /opt/glite/yaim/bin/yaim -c -s site-info.def -n glite-UI
21
GARR WS08 - Milano, 2-4 Aprile 2008 21 Stato del porting (gL 3.1) a SLC4: https://twiki.cern.ch/twiki/bin/view/EGEE/Glite31NodeTracker
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.