technologie ta śmowe – wprowadzenie i zastosowania

Technologie ta śmowe –wprowadzenie i zastosowania

Jacek Herold , WCSS

Agenda

• Wprowadzenie

• Podstawowe cechy usługi

• Dostępne metody dostępowe

• Certyfikaty

• Kto może korzystać z usługi?

• Jak uzyskać konto?

� PLATON-U4:� KMD – Krajowy Magazyn Danych

– projekt rozwojowy (2007-2009)w ramach którego powstało oprogramowanie

� PLATON-U4 – „Usługa powszechnej

archiwizacji” – wdrożenie oprogramowania KMD dla użytkowników EDUkacyjnych (2010)

� Konsorcjum i lokalizacje:

� PCSS Poznań

� CYFRONET AGH Kraków

� TASK Gdańsk

� WCSS Wrocław

� ICM UW Warszawa

� BiaMAN Białystok

� LubMAN Lublin

� LodMAN Łódź

� Politechnika Częstochowska Częstochowa

� Politechnika Świętokrzyska Kielce

PLATON-U4: Kim jesteśmy

� Cele szczegółowe:� Zabezpieczenie fizyczne danych

� Zapewnienie i kontrola integralności logicznej danych

� Poufność danych

� Długoterminowe przechowywanie

i udostępnianie kopii zapasowych

� Dostarczenie narzędzi wspierającychwykonywanie kopii danych

PLATON-U4: Cele i założenia

� Cel nadrzędny:� Pomoc użytkownikom i instytucjom

w ZABEZPIECZENIU ich danych

=> „Usługa Powszechnej Archiwizacji”

Agenda

• Wprowadzenie



• Certyfikaty



PLATON-U4: Realizacja i podstawowe cechy usługi

� Zabezpieczenie fizyczne danych:

� Replikacja geograficzna

� Rozproszona infrastruktura:

� 12,5 PB pamięci taśmowych – w 5 lokalizacjach – automatyczne biblioteki taśmowe

� 2 PB pamięci dyskowych – w 10 lokalizacjach – macierze dyskowe i serwery plików

� 70 serwerów oraz sieci SAN (ang. Storage Area Network) i 10Gbit Ethernet

Podstawowe cechy usługi - replikacja

Użytkownik

Usługa PLATON-U4Dane użytkownika

CentrumDanych 1

CentrumDanych 3

CentrumDanych 2

Replika 1 Replika 2 Replika 3

R E P L I K A C J A

Usługa PLATON-U4

CentrumDanych 1

CentrumDanych 3

CentrumDanych 2

Replika 1 Replika 2 Replika 3

O D T W A R Z A N I EDane dostępne!

Użytkownik

Dane użytkownika

Podstawowe cechy usługi - replikacja

� Zabezpieczenie fizyczne danych:

� Bezpieczne centra danych

Podstawowe cechy usługi - bezpieczeństwo

Redundantna klimatyzacjaWiele linii zasilania System wczesnego ostrzegania

Serwerownia w PCSS

Monitoring wizyjny

� Zapewnienie i kontrola integralności logicznej danych:� Wyliczanie skrótów kryptograficznych

danych umieszczanych i składowanych

� Poufność danych:

� Dane szyfrowane w drodze do systemu:

� Wsparcie dla SSH, HTTPS

� Dane szyfrowane wewnątrz systemu:Łącza zabezpieczone kryptograficznie

Sprzętowe szyfrowanie w technologii taśmowej LTO4 / LTO5

� Kontrola dostępu

Podstawowe cechy usługi - bezpieczeństwo

Agenda

• Wprowadzenie



• Certyfikaty



Narzędzia klienta

• Dostęp przez stronę www:• Interfejs www użytkownika

• Certyfikaty użytkownika i połączenie szyfrowane

• Dostęp przez dysk sieciowy WebDAV:• Bezpośredni dostęp do danych

• Możliwość podłączenia jako dysk

• Dostęp przez protokół SSH (SCP i SFTP):

• Wykorzystanie klienta SCP (WinSCP)

• Wykorzystanie narzędzia SSHFS

Dostęp do danych przez interfejs www

Standardowa przeglądarka Firefox

Portal WWW

WebDAV

• WebDAV jest rozszerzeniem protokołu http• Autoryzacja tak jak dla dostępu przez

www• Dostęp przez:

• Przeglądarkę www (tryb tylko do odczytu)• Klienta WebDAV (zapis i odczyt)

• Dysk sieciowy (moje miejsce sieciowe)

• Emulacja dysku lokalnego (dysk F: )

Dysk sieciowy WebDAV

Dostęp przez protokół SSH

• Dostęp po protokole SSH możliwy tylko z użyciem klucza prywatnego

• Windows: WinSCP

• Darmowa aplikacja

• Interfejs typu „Total Commander”

• Linux: SFTP (nie – SCP)

• Kopiowanie interaktywne i wsadowe

• Linux: SSHFS

• Montowanie zdalnego systemu plików

Dostęp przez protokół SSH - WinSCP

Definiowanie połączenia i wskazanie pliku z kluczem prywatnym

Dostęp przez protokół SSH - WinSCP

Agenda

• Wprowadzenie



• Certyfikaty



Certyfikat

Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy.

Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.

Urząd certyfikacji Certification Authority (CA)

Organizacja (lub osoba) wystawiająca certyfikaty.

Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu

Każdy urząd ma ściśle zdefiniowaną politykę: komu i na jakich zasadach może wystawić certyfikat

Analogia – urząd miasta wystawiający dowody osobiste

Urząd rejestracjiRegistration Authority (RA)

Jednostka (lub osoba) weryfikująca wniosek o wystawienie

certyfikatu (m.in. potwierdza tożsamość osoby składającej

wniosek)

RA otrzymuje swoje uprawnienia od CA

Analogia: filia urzędu przyjmująca

wnioski od obywateli i wydająca

dokumenty wystawione przez inną

jednostkę.

CA w PLATON-U4

• TERENA Certificate Service

• Polish Grid CA (EUGridPMA)

• PIONIER PKI

Urząd Certyfikacji PIONIER PKI świadczy usługi certyfikacji użytkowników końcowych w sieci PIONIER (w szczególności użytkowników środowiska akademickiego i naukowo-badawczego).

Każdy kto pracuje (korzysta z sieci) w instytucji która jest podłączona do sieci PIONIER może otrzymać certyfikat.

Pionier PKI

https://ra.wcss.pki.pionier.net.pl/ejbca/enrol/personal_orgs.jsp

KeyExtractorStrona:https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty

Darmowy program do „wydobycia” kluczy z certyfikatu

Agenda

• Wprowadzenie



• Certyfikaty



Kto może skorzystać z usługi?

• Użytkownik KDM: – w ramach wniosków o grant obliczeniowy

• Użytkownik MAN: – w ramach wniosków do MAN

• Student – na podstawie zgody osoby prowadzącej grant obliczeniowy

• Dział/jednostka badawcza lub naukowa– w ramach łącza do sieci PIONIER

Co otrzymujemy w ramach usługi?

• Użytkownik KDM/MAN:– przestrzeń o wielkości 100 GB:

• Większe pojemności przydzielane indywidualnie

– replika danych w ramach infrastruktury

• Dział/jednostka badawcza lub naukowa:– przestrzeń przydzielana w zależności od zgłoszonych potrzeb

• Koszty:– użytkownik KDM/MAN:

• roczne rozliczenia grantu/wniosku

– dział/jednostka badawcza: • usługa dodana do umowy na przyłącze do sieci

Agenda

• Wprowadzenie



• Certyfikaty



Jak zostać naszym klientem?

Zgłosić się do najbliższej jednostki konsorcjum PLATON-U4:

• lista kontaktowa na końcu prezentacji lub na stronie:

• http://www.storage.pionier.net.pl/contact.html

Wypełnić formularz rejestracji usługi, który otrzymany w odpowiedzi na zgłoszenie.

Tymczasowo dostęp do zasobów będzie możliwy bez umowy.

Wzór umowy będzie przygotowany do końca roku.

Parametry usługi

Parametry usługi:

• Ilość i możliwą lokalizację replik

• Tryb replikacji (synchroniczny/asynchroniczny)

• Max. dostępną przestrzeń dla danych (soft i hard quota)

• Max. liczbę plików i katalogów

Parametry te będą określone w umowie o świadczenie usług.

Wewnątrz systemu umowę odzwierciedla zestaw danych zwany kontraktem.

Gdzie zamówić usługę (1)� Zamówienie usługi możliwe jest w jednym z dziesięciu ośrodków na terenie

Polski biorących udział w projekcie

� Białystok - Politechnika Białostocka, Centrum Komputerowych Sieci Rozległ[email protected]

� Częstochowa - Politechnika Częstochowska, Instytut Informatyki Teoretycznej i Stosowanej, PCz [email protected]

� Gdańsk - Politechnika Gdańska, Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej [email protected]

� Kielce – Politechnika Świę[email protected]

Gdzie zamówić usługę (2)

� Kraków – Akademia Górniczo-Hutnicza, Akademickie Centrum Komputerowe CYFRONET [email protected]

� Lublin - Uniwersytet Marii Curie-Skłodowskiej w Lublinie, LubMAN [email protected]

� Łódź - Politechnika Łódzka, Centrum Komputerowe PŁ, Miejska Sieć Komputerowa [email protected]

� Poznań – Instytut Chemii Bioorganicznej PAN,Poznańskie Centrum Superkomputerowo-Sieciowe [email protected]

Gdzie zamówić usługę (3)

� Warszawa – Uniwersytet Warszawski,Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, [email protected]

� Wrocław - Politechnika Wrocławska, Wrocławskie Centrum Sieciowo-Superkomputerowe, WCSS [email protected]

Jak zamówić usługę (1)

Kroki rejestracyjne• Wysyłamy zgłoszenie na adres jednego z dziesięciu ośrodków biorących udział w

projekcie

• W odpowiedzi otrzymamy formularz rejestracji usługi, którego wypełnienie będzie niezbędne do zamówienia usługi

• Wypełniamy formularz i odsyłamy go na adres kontaktowy

• Po poprawnym zweryfikowaniu formularza otrzymamy informację z prośbą o dostarczenie swojego certyfikatu X509 lub odebranie certyfikatu wygenerowanego przez CA usługi archiwizacji

• Po zakończeniu wszystkich powyższych kroków powinniśmy otrzymać informację potwierdzającą proces zakończenia rejestracji i aktywację usługi

W trakcie procesu rejestracji może wyniknąć konieczność wyjaśniania przez rejestrującego pewnych informacji zawartych w formularzu, w takim wypadku cała korespondencja prowadzona jest poprzez adres kontaktowy usługi,

a w przypadku konieczności poprawy formularza rejestrujący będzie zobowiązany do przesłania formularza ponownie z poprawnymi danymi.


Dane rejestracyjne

� Można podzielić na trzy grupy:

• Dane identyfikujące instytucję z jakiej pochodzi użytkownik:

• dane teleadresowe

• Dane identyfikujące użytkownika końcowego:

• dane teleadresowe,

• certyfikat użytkownika, certyfikat CA użytkownika

• Dane określające profil zamawianej usługi:

• wielkość zasobów,

• liczba replik,

• dostępność danych itp.


Certyfikaty użytkowników

� Użytkownicy korzystający z usługi muszą posiadać certyfikat X509

� Certyfikat użytkownika może zostać wygenerowany i podpisany przez CA usługi archiwizacji w trakcie procedury rejestracyjnej

� Użytkownik może dostarczyć swój certyfikat podpisany przez inne CA w trakcie procedury rejestracyjnej

� ale wtedy konieczne jest dostarczenie bądź wskazanie miejsca skąd można pobrać certyfikat CA podpisującego certyfikat użytkownika

technologie ta śmowe – wprowadzenie i zastosowania

Documents