technologie ta śmowe – wprowadzenie i zastosowania
TRANSCRIPT
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
� PLATON-U4:� KMD – Krajowy Magazyn Danych
– projekt rozwojowy (2007-2009)w ramach którego powstało oprogramowanie
� PLATON-U4 – „Usługa powszechnej
archiwizacji” – wdrożenie oprogramowania KMD dla użytkowników EDUkacyjnych (2010)
� Konsorcjum i lokalizacje:
� PCSS Poznań
� CYFRONET AGH Kraków
� TASK Gdańsk
� WCSS Wrocław
� ICM UW Warszawa
� BiaMAN Białystok
� LubMAN Lublin
� LodMAN Łódź
� Politechnika Częstochowska Częstochowa
� Politechnika Świętokrzyska Kielce
PLATON-U4: Kim jesteśmy
� Cele szczegółowe:� Zabezpieczenie fizyczne danych
� Zapewnienie i kontrola integralności logicznej danych
� Poufność danych
� Długoterminowe przechowywanie
i udostępnianie kopii zapasowych
� Dostarczenie narzędzi wspierającychwykonywanie kopii danych
PLATON-U4: Cele i założenia
� Cel nadrzędny:� Pomoc użytkownikom i instytucjom
w ZABEZPIECZENIU ich danych
=> „Usługa Powszechnej Archiwizacji”
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
PLATON-U4: Realizacja i podstawowe cechy usługi
� Zabezpieczenie fizyczne danych:
� Replikacja geograficzna
� Rozproszona infrastruktura:
� 12,5 PB pamięci taśmowych – w 5 lokalizacjach – automatyczne biblioteki taśmowe
� 2 PB pamięci dyskowych – w 10 lokalizacjach – macierze dyskowe i serwery plików
� 70 serwerów oraz sieci SAN (ang. Storage Area Network) i 10Gbit Ethernet
Podstawowe cechy usługi - replikacja
Użytkownik
Usługa PLATON-U4Dane użytkownika
CentrumDanych 1
CentrumDanych 3
CentrumDanych 2
Replika 1 Replika 2 Replika 3
R E P L I K A C J A
Usługa PLATON-U4
CentrumDanych 1
CentrumDanych 3
CentrumDanych 2
Replika 1 Replika 2 Replika 3
O D T W A R Z A N I EDane dostępne!
Użytkownik
Dane użytkownika
Podstawowe cechy usługi - replikacja
� Zabezpieczenie fizyczne danych:
� Bezpieczne centra danych
Podstawowe cechy usługi - bezpieczeństwo
Redundantna klimatyzacjaWiele linii zasilania System wczesnego ostrzegania
Serwerownia w PCSS
Monitoring wizyjny
� Zapewnienie i kontrola integralności logicznej danych:� Wyliczanie skrótów kryptograficznych
danych umieszczanych i składowanych
� Poufność danych:
� Dane szyfrowane w drodze do systemu:
� Wsparcie dla SSH, HTTPS
� Dane szyfrowane wewnątrz systemu:Łącza zabezpieczone kryptograficznie
Sprzętowe szyfrowanie w technologii taśmowej LTO4 / LTO5
� Kontrola dostępu
Podstawowe cechy usługi - bezpieczeństwo
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
Narzędzia klienta
• Dostęp przez stronę www:• Interfejs www użytkownika
• Certyfikaty użytkownika i połączenie szyfrowane
• Dostęp przez dysk sieciowy WebDAV:• Bezpośredni dostęp do danych
• Możliwość podłączenia jako dysk
• Dostęp przez protokół SSH (SCP i SFTP):
• Wykorzystanie klienta SCP (WinSCP)
• Wykorzystanie narzędzia SSHFS
WebDAV
• WebDAV jest rozszerzeniem protokołu http• Autoryzacja tak jak dla dostępu przez
www• Dostęp przez:
• Przeglądarkę www (tryb tylko do odczytu)• Klienta WebDAV (zapis i odczyt)
• Dysk sieciowy (moje miejsce sieciowe)
• Emulacja dysku lokalnego (dysk F: )
Dostęp przez protokół SSH
• Dostęp po protokole SSH możliwy tylko z użyciem klucza prywatnego
• Windows: WinSCP
• Darmowa aplikacja
• Interfejs typu „Total Commander”
• Linux: SFTP (nie – SCP)
• Kopiowanie interaktywne i wsadowe
• Linux: SSHFS
• Montowanie zdalnego systemu plików
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
Certyfikat
Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy.
Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.
Urząd certyfikacji Certification Authority (CA)
Organizacja (lub osoba) wystawiająca certyfikaty.
Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu
Każdy urząd ma ściśle zdefiniowaną politykę: komu i na jakich zasadach może wystawić certyfikat
Analogia – urząd miasta wystawiający dowody osobiste
Urząd rejestracjiRegistration Authority (RA)
Jednostka (lub osoba) weryfikująca wniosek o wystawienie
certyfikatu (m.in. potwierdza tożsamość osoby składającej
wniosek)
RA otrzymuje swoje uprawnienia od CA
Analogia: filia urzędu przyjmująca
wnioski od obywateli i wydająca
dokumenty wystawione przez inną
jednostkę.
Urząd Certyfikacji PIONIER PKI świadczy usługi certyfikacji użytkowników końcowych w sieci PIONIER (w szczególności użytkowników środowiska akademickiego i naukowo-badawczego).
Każdy kto pracuje (korzysta z sieci) w instytucji która jest podłączona do sieci PIONIER może otrzymać certyfikat.
Pionier PKI
https://ra.wcss.pki.pionier.net.pl/ejbca/enrol/personal_orgs.jsp
KeyExtractorStrona:https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty
Darmowy program do „wydobycia” kluczy z certyfikatu
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
Kto może skorzystać z usługi?
• Użytkownik KDM: – w ramach wniosków o grant obliczeniowy
• Użytkownik MAN: – w ramach wniosków do MAN
• Student – na podstawie zgody osoby prowadzącej grant obliczeniowy
• Dział/jednostka badawcza lub naukowa– w ramach łącza do sieci PIONIER
Co otrzymujemy w ramach usługi?
• Użytkownik KDM/MAN:– przestrzeń o wielkości 100 GB:
• Większe pojemności przydzielane indywidualnie
– replika danych w ramach infrastruktury
• Dział/jednostka badawcza lub naukowa:– przestrzeń przydzielana w zależności od zgłoszonych potrzeb
• Koszty:– użytkownik KDM/MAN:
• roczne rozliczenia grantu/wniosku
– dział/jednostka badawcza: • usługa dodana do umowy na przyłącze do sieci
Agenda
• Wprowadzenie
• Podstawowe cechy usługi
• Dostępne metody dostępowe
• Certyfikaty
• Kto może korzystać z usługi?
• Jak uzyskać konto?
Jak zostać naszym klientem?
Zgłosić się do najbliższej jednostki konsorcjum PLATON-U4:
• lista kontaktowa na końcu prezentacji lub na stronie:
• http://www.storage.pionier.net.pl/contact.html
Wypełnić formularz rejestracji usługi, który otrzymany w odpowiedzi na zgłoszenie.
Tymczasowo dostęp do zasobów będzie możliwy bez umowy.
Wzór umowy będzie przygotowany do końca roku.
Parametry usługi
Parametry usługi:
• Ilość i możliwą lokalizację replik
• Tryb replikacji (synchroniczny/asynchroniczny)
• Max. dostępną przestrzeń dla danych (soft i hard quota)
• Max. liczbę plików i katalogów
Parametry te będą określone w umowie o świadczenie usług.
Wewnątrz systemu umowę odzwierciedla zestaw danych zwany kontraktem.
Gdzie zamówić usługę (1)� Zamówienie usługi możliwe jest w jednym z dziesięciu ośrodków na terenie
Polski biorących udział w projekcie
� Białystok - Politechnika Białostocka, Centrum Komputerowych Sieci Rozległ[email protected]
� Częstochowa - Politechnika Częstochowska, Instytut Informatyki Teoretycznej i Stosowanej, PCz [email protected]
� Gdańsk - Politechnika Gdańska, Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej [email protected]
� Kielce – Politechnika Świę[email protected]
Gdzie zamówić usługę (2)
� Kraków – Akademia Górniczo-Hutnicza, Akademickie Centrum Komputerowe CYFRONET [email protected]
� Lublin - Uniwersytet Marii Curie-Skłodowskiej w Lublinie, LubMAN [email protected]
� Łódź - Politechnika Łódzka, Centrum Komputerowe PŁ, Miejska Sieć Komputerowa [email protected]
� Poznań – Instytut Chemii Bioorganicznej PAN,Poznańskie Centrum Superkomputerowo-Sieciowe [email protected]
Gdzie zamówić usługę (3)
� Warszawa – Uniwersytet Warszawski,Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, [email protected]
� Wrocław - Politechnika Wrocławska, Wrocławskie Centrum Sieciowo-Superkomputerowe, WCSS [email protected]
Jak zamówić usługę (1)
Kroki rejestracyjne• Wysyłamy zgłoszenie na adres jednego z dziesięciu ośrodków biorących udział w
projekcie
• W odpowiedzi otrzymamy formularz rejestracji usługi, którego wypełnienie będzie niezbędne do zamówienia usługi
• Wypełniamy formularz i odsyłamy go na adres kontaktowy
• Po poprawnym zweryfikowaniu formularza otrzymamy informację z prośbą o dostarczenie swojego certyfikatu X509 lub odebranie certyfikatu wygenerowanego przez CA usługi archiwizacji
• Po zakończeniu wszystkich powyższych kroków powinniśmy otrzymać informację potwierdzającą proces zakończenia rejestracji i aktywację usługi
W trakcie procesu rejestracji może wyniknąć konieczność wyjaśniania przez rejestrującego pewnych informacji zawartych w formularzu, w takim wypadku cała korespondencja prowadzona jest poprzez adres kontaktowy usługi,
a w przypadku konieczności poprawy formularza rejestrujący będzie zobowiązany do przesłania formularza ponownie z poprawnymi danymi.
Jak zamówić usługę (2)
Dane rejestracyjne
� Można podzielić na trzy grupy:
• Dane identyfikujące instytucję z jakiej pochodzi użytkownik:
• dane teleadresowe
• Dane identyfikujące użytkownika końcowego:
• dane teleadresowe,
• certyfikat użytkownika, certyfikat CA użytkownika
• Dane określające profil zamawianej usługi:
• wielkość zasobów,
• liczba replik,
• dostępność danych itp.
Jak zamówić usługę (3)
Certyfikaty użytkowników
� Użytkownicy korzystający z usługi muszą posiadać certyfikat X509
� Certyfikat użytkownika może zostać wygenerowany i podpisany przez CA usługi archiwizacji w trakcie procedury rejestracyjnej
� Użytkownik może dostarczyć swój certyfikat podpisany przez inne CA w trakcie procedury rejestracyjnej
� ale wtedy konieczne jest dostarczenie bądź wskazanie miejsca skąd można pobrać certyfikat CA podpisującego certyfikat użytkownika