Персональные инструменты
 

Организация сети для ресурсного центра



Компьютеры, входящие в состав RC, можно разбить на три группы:
  • сервер установки и конфигурирования LCFGng (он в одном экземпляре);
  • серверы служб грид (CE, SE и, дополнительно, серверы коммунальных служб);
  • рабочие узлы (WN).
Все компьютеры имеет смысл разместить в отдельном сегменте локальной сети. Во-первых, это дает возможность отделить трафик грид от общего трафика, подключив сегмент RC к выделенному для грид скоростному каналу. Во-вторых, позволяет сосредоточить защиту RC в одной точке – на шлюзе к сегменту. В противном случае конфигурировать защиту протоколов придется на каждом компьютере.

Спроектировать сетевую защиту можно исходя из того, какие входящие потоки поступают на компьютеры каждой из групп.

  1. На сервер LCFGng загружается ПО LCG2, но при этом он выступает в роли клиента, а роль сервера он начинает играть при установке компьютеров RC. Поэтому на нем могут быть закрыты от внешнего (со стороны глобальной сети) доступа все протоколы. Для выполнения установки необходимы только три протокола: TFTP, DHCP и NFS. Их конфигурирование описано в руководстве по установке сервера LCFGng, а область действия может быть ограничена только сегментом RC.

    Помимо этого, открывается административный доступ к Web-серверу LCFGng, на страницах которого публикуется информация о статусе конфигураций компьютеров RC. Это доступ может быть ограничен небольшим количеством компьютеров для обслуживающего персонала.
  2. Серверы служб должны иметь возможность получать сообщения с любых внешних адресов, но лишь по протоколам грид, которые указываются в документации по установке каждой службы. Все остальные протоколы могут быть закрыты для внешнего доступа.

    Службы взаимодействуют между собой и к ним поступают сообщения с рабочих узлов. В документации по установке служб указываются протоколы, которые необходимо открыть, но область их действия может быть ограничена компьютерами сегмента RC.
  3. Все протоколы на рабочих машинах могут быть закрыты для внешнего доступа. Более того, применяя сетевой фильтр на уровне сегмента, их IP-адреса лучше сделать виртуальными, то есть невидимыми из внешней сети. Пример реализации такого способа "маскировки" рабочих узлов описан в siteinstall-2_2_0.pdf, пункт 3.

    Внутренний доступ следует ограничить машинами RC и открыть только указанные в документации протоколы.

    Помимо сказанного необходимо обеспечить административный доступ ко всем компьютерам RC. По-видимому, лучшее решение для этого – работа непосредственно на них. Если все же нужно удаленное администрирование, то потребуется открыть протоколы ssh и sftp, но область их действия необходимо ограничить небольшим числом компьютеров.

    Замечание: порты служб LCG2 можно найти в lcg-port-table