Technologie taśmowe wprowadzenie i zastosowania Jacek Herold, WCSS
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
PLATON-U4: KMD Krajowy Magazyn Danych projekt rozwojowy (2007-2009) w ramach którego powstało oprogramowanie PLATON-U4 Usługa powszechnej archiwizacji wdrożenie oprogramowania KMD dla użytkowników EDUkacyjnych (2010) Konsorcjum i lokalizacje: PCSS Poznań CYFRONET AGH Kraków TASK Gdańsk WCSS Wrocław ICM UW Warszawa BiaMAN Białystok LubMAN Lublin LodMAN Łódź Politechnika Częstochowska Częstochowa Politechnika Świętokrzyska Kielce PLATON-U4: Kim jesteśmy
Cel nadrzędny: Cele szczegółowe: Zabezpieczenie fizyczne danych Zapewnieniei kontrola integralności logicznej danych Poufność danych PLATON-U4: Cele i założenia Pomoc użytkownikom i instytucjom w ZABEZPIECZENIU ich danych => Usługa Powszechnej Archiwizacji Długoterminowe przechowywanie i udostępnianie kopii zapasowych Dostarczenie narzędzi wspierających wykonywanie kopii danych
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
PLATON-U4: Realizacja i podstawowe cechy usługi Zabezpieczenie fizyczne danych: Replikacja geograficzna Rozproszona infrastruktura: 12,5 PB pamięci taśmowych w 5 lokalizacjach automatyczne biblioteki taśmowe 2 PB pamięci dyskowych w 10 lokalizacjach macierze dyskowe i serwery plików 70 serwerów oraz sieci SAN (ang. Storage Area Network) i 10Gbit Ethernet
Podstawowe cechy usługi - replikacja Użytkow nik Dane użytkownika Usługa PLATON-U4 R E P L I K A C J A Replika 1 Replika 2 Replika 3 Centrum Danych 1 Centrum Danych 2 Centrum Danych 3
Podstawowe cechy usługi - replikacja Użytkow Dane nik użytkownika Dane dostępne! Usługa PLATON-U4 O D T W A R Z A N I E Replika 1 Replika 2 Replika 3 Centrum Danych 1 Centrum Danych 2 Centrum Danych 3
Podstawowe cechy usługi - bezpieczeństwo Zabezpieczenie fizyczne danych: Bezpieczne centra danych Serwerownia w PCSS Wiele linii zasilania Redundantna klimatyzacja System wczesnego ostrzegania Monitoring wizyjny
Podstawowe cechy usługi - bezpieczeństwo Zapewnieniei kontrola integralności logicznej danych: Wyliczanie skrótów kryptograficznych danych umieszczanych i składowanych Poufność danych: Dane szyfrowane w drodze do systemu: Wsparcie dla SSH, HTTPS Dane szyfrowane wewnątrz systemu: Łącza zabezpieczone kryptograficznie Sprzętowe szyfrowanie w technologii taśmowej LTO4 / LTO5 Kontrola dostępu
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
Narzędzia klienta Dostęp przez stronę www: Interfejs www użytkownika Certyfikaty użytkownika i połączenie szyfrowane Dostęp przez dysk sieciowy WebDAV: Bezpośredni dostęp do danych Możliwość podłączenia jako dysk Dostęp przez protokół SSH (SCP i SFTP): Wykorzystanie klienta SCP (WinSCP) Wykorzystanie narzędzia SSHFS
Dostęp do danych przez interfejs www Standardowa przeglądarka Firefox
Portal WWW
WebDAV WebDAV jest rozszerzeniem protokołu http Autoryzacja tak jak dla dostępu przez www Dostęp przez: Przeglądarkę www (tryb tylko do odczytu) Klienta WebDAV (zapis i odczyt) Dysk sieciowy (moje miejsce sieciowe) Emulacja dysku lokalnego (dysk F: )
Dysk sieciowy WebDAV
Dostęp przez protokół SSH Dostęp po protokole SSH możliwy tylko z użyciem klucza prywatnego Windows: WinSCP Darmowa aplikacja Interfejs typu Total Commander Linux: SFTP (nie SCP) Kopiowanie interaktywne i wsadowe Linux: SSHFS Montowanie zdalnego systemu plików
Dostęp przez protokół SSH -WinSCP Definiowanie połączenia i wskazanie pliku z kluczem prywatnym
Dostęp przez protokół SSH -WinSCP
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
Certyfikat Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy. Analogia certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.
Urząd certyfikacji Certification Authority (CA) Organizacja (lub osoba) wystawiająca certyfikaty. Obowiązuje zasada zaufania uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu Każdy urząd ma ściśle zdefiniowaną politykę: komu i na jakich zasadach może wystawić certyfikat Analogia urząd miasta wystawiający dowody osobiste
Urząd rejestracji Registration Authority (RA) Jednostka (lub osoba) weryfikująca wniosek o wystawienie certyfikatu (m.in. potwierdza tożsamość osoby składającej wniosek) RA otrzymuje swoje uprawnienia od CA Analogia: filia urzędu przyjmująca wnioski od obywateli i wydająca dokumenty wystawione przez inną jednostkę.
CA w PLATON-U4 TERENA Certificate Service Polish Grid CA (EUGridPMA) PIONIER PKI
Pionier PKI Urząd Certyfikacji PIONIER PKI świadczy usługi certyfikacji użytkowników końcowych w sieci PIONIER (w szczególności użytkowników środowiska akademickiego i naukowo-badawczego). Każdy kto pracuje (korzysta z sieci) w instytucji która jest podłączona do sieci PIONIER może otrzymać certyfikat. https://ra.wcss.pki.pionier.net.pl/ejbca/enrol/personal_orgs.jsp
KeyExtractor Strona: https://www.storage.pionier.net.pl/wiki/index.php/certyfikaty Darmowy program do wydobycia kluczy z certyfikatu
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
Kto może skorzystać z usługi? Użytkownik KDM: w ramach wniosków o grant obliczeniowy Użytkownik MAN: w ramach wniosków do MAN Student na podstawie zgody osoby prowadzącej grant obliczeniowy Dział/jednostka badawcza lub naukowa w ramach łącza do sieci PIONIER
Co otrzymujemy w ramach usługi? Użytkownik KDM/MAN: przestrzeń o wielkości 100 GB: Większe pojemności przydzielane indywidualnie replika danych w ramach infrastruktury Dział/jednostka badawcza lub naukowa: przestrzeń przydzielana w zależności od zgłoszonych potrzeb Koszty: użytkownik KDM/MAN: roczne rozliczenia grantu/wniosku dział/jednostka badawcza: usługa dodana do umowy na przyłącze do sieci
Agenda Wprowadzenie Podstawowe cechy usługi Dostępne metody dostępowe Certyfikaty Kto może korzystać z usługi? Jak uzyskać konto?
Jak zostać naszym klientem? Zgłosić się do najbliższej jednostki konsorcjum PLATON-U4: lista kontaktowa na końcu prezentacji lub na stronie: http://www.storage.pionier.net.pl/contact.html Wypełnić formularz rejestracji usługi, który otrzymany w odpowiedzi na zgłoszenie. Tymczasowo dostęp do zasobów będzie możliwy bez umowy. Wzór umowy będzie przygotowany do końca roku.
Parametry usługi: Parametry usługi Ilość i możliwą lokalizację replik Tryb replikacji (synchroniczny/asynchroniczny) Max. dostępną przestrzeń dla danych (soft i hard quota) Max. liczbę plików i katalogów Parametry te będą określone w umowie o świadczenie usług. Wewnątrz systemu umowę odzwierciedla zestaw danych zwany kontraktem.
Gdzie zamówić usługę (1) Zamówienie usługi możliwe jest w jednym z dziesięciu ośrodków na terenie Polski biorących udział w projekcie Białystok-Politechnika Białostocka, Centrum Komputerowych Sieci Rozległych platon-u4-req@biaman.pl Częstochowa-Politechnika Częstochowska, Instytut Informatyki Teoretycznej i Stosowanej, PCz platon-u4-req@icis.pcz.pl Gdańsk-Politechnika Gdańska, Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej TASK platon-u4-req@task.gda.pl Kielce Politechnika Świętokrzyska platon-u4-req@tu.kielce.pl
Gdzie zamówić usługę (2) Kraków Akademia Górniczo-Hutnicza, Akademickie Centrum Komputerowe CYFRONET AGH platon-u4-req@cyfronet.pl Lublin- Uniwersytet Marii Curie-Skłodowskiej w Lublinie, LubMAN UMCS platon-u4-req@umcs.lublin.pl Łódź-Politechnika Łódzka, Centrum Komputerowe PŁ, Miejska Sieć Komputerowa LODMAN platon-u4-req@man.lodz.pl Poznań Instytut Chemii Bioorganicznej PAN, Poznańskie Centrum Superkomputerowo-Sieciowe PCSS platon-u4-req@man.poznan.pl
Gdzie zamówić usługę (3) Warszawa Uniwersytet Warszawski, Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, ICM platon-u4-req@net.icm.edu.pl Wrocław-Politechnika Wrocławska, Wrocławskie Centrum Sieciowo-Superkomputerowe, WCSS platon-u4-req@kdm.wcss.wroc.pl
Jak zamówić usługę (1) Kroki rejestracyjne Wysyłamy zgłoszenie na adres jednego z dziesięciu ośrodków biorących udział w projekcie W odpowiedzi otrzymamy formularz rejestracji usługi, którego wypełnienie będzie niezbędne do zamówienia usługi Wypełniamy formularz i odsyłamy go na adres kontaktowy Po poprawnym zweryfikowaniu formularza otrzymamy informację z prośbą o dostarczenie swojego certyfikatu X509 lub odebranie certyfikatu wygenerowanego przez CA usługi archiwizacji Po zakończeniu wszystkich powyższych kroków powinniśmy otrzymać informację potwierdzającą proces zakończenia rejestracji i aktywację usługi W trakcie procesu rejestracji może wyniknąć konieczność wyjaśniania przez rejestrującego pewnych informacji zawartych w formularzu, w takim wypadku cała korespondencja prowadzona jest poprzez adres kontaktowy usługi, a w przypadku konieczności poprawy formularza rejestrujący będzie zobowiązany do przesłania formularza ponownie z poprawnymi danymi.
Jak zamówić usługę (2) Dane rejestracyjne Można podzielić na trzy grupy: Dane identyfikujące instytucjęz jakiej pochodzi użytkownik: dane teleadresowe Dane identyfikujące użytkownika końcowego: dane teleadresowe, certyfikat użytkownika, certyfikat CA użytkownika Dane określające profilzamawianej usługi: wielkość zasobów, liczba replik, dostępność danych itp.
Jak zamówić usługę (3) Certyfikaty użytkowników Użytkownicy korzystający z usługi muszą posiadać certyfikat X509 Certyfikat użytkownika może zostać wygenerowany i podpisanyprzez CA usługi archiwizacji w trakcie procedury rejestracyjnej Użytkownikmoże dostarczyć swój certyfikatpodpisany przez inne CA w trakcie procedury rejestracyjnej ale wtedy konieczne jest dostarczenie bądź wskazanie miejsca skąd można pobrać certyfikat CA podpisującego certyfikat użytkownika