Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.
tech:arcce [2013/08/06 13:18] Борецький Олександр [Репозиторії] |
tech:arcce [2013/08/06 13:55] (поточний) Борецький Олександр [... приорітетність елементів зберігання при наявності декількох реплік файла?] |
||
---|---|---|---|
Рядок 36: | Рядок 36: | ||
=== Синхронізація часу === | === Синхронізація часу === | ||
Переконайтесь, що на машині встановлено правильний час. Без правильно встановленого часу, захищений зв'язок через мережу неможливий. | Переконайтесь, що на машині встановлено правильний час. Без правильно встановленого часу, захищений зв'язок через мережу неможливий. | ||
- | Якщо ви не використовуєте локальні джерела синхронізації часу на обчислювальному кластері, набульш раціональним варіантом синхронізації є використання NTP((якщо ARC запущений на віртуальній машині, будь-ласка зверніться до документації вашого гіпервізора щодо особливостей використання NTP. Наприклад для KVM, NTP слід налаштовувати на машині з гіпервізором, а в віртуальній машині використовувати синхронізацію по системному годиннику)). | + | Якщо ви не використовуєте локальні джерела синхронізації часу на обчислювальному кластері, найбільш раціональним варіантом синхронізації є використання NTP((якщо ARC запущений на віртуальній машині, будь-ласка зверніться до документації вашого гіпервізора щодо особливостей використання NTP. Наприклад для KVM, NTP слід налаштовувати на машині з гіпервізором, а в віртуальній машині використовувати синхронізацію по системному годиннику)). |
В UA-IX джерелом точного часу є сервери http://time.in.ua | В UA-IX джерелом точного часу є сервери http://time.in.ua | ||
Рядок 51: | Рядок 51: | ||
=== SELinux === | === SELinux === | ||
- | Пакети Nordugrid ARC розповсюджуються з базовим набором правил SELinux, проте через невелику кількість людей, що залишають SELinux включеним даних щодо коректності роботи правил на реально працюючій системі немає. Більш-того, якщо ви будете налаштовувати інші грід-сервіси, які не сумісні з SELinux на тій самій машині (наприклад [[tech:site-bdii|Site BDII]]) вам доведеться його відключити. | + | Пакети Nordugrid ARC розповсюджуються з базовим набором правил SELinux, проте через невелику кількість людей, що залишають SELinux ввімкненим даних щодо коректності роботи правил на реально працюючій системі немає. Більш-того, якщо ви будете налаштовувати інші грід-сервіси, які не сумісні з SELinux на тій самій машині (наприклад [[tech:site-bdii|Site BDII]]) вам доведеться його вимкнути. |
Насьогодні найбільш безпечним та рекомендованим варіантом є переведення SELinux в стан Permissive або його повне вимкнення. | Насьогодні найбільш безпечним та рекомендованим варіантом є переведення SELinux в стан Permissive або його повне вимкнення. | ||
Рядок 160: | Рядок 160: | ||
nodememory="8000" | nodememory="8000" | ||
| | ||
- | Параметр ''nodememory'' не є обов'язковим, проте його доцільно визначити для виключення задач, що потребують більше пам'яті аніж є на нодах (така задача буде очыкувати вічно). | + | Параметр ''nodememory'' не є обов'язковим, проте його доцільно визначити для виключення задач, що потребують більше пам'яті аніж є на робочих вузлах (така задача буде очікувати вічно). |
==== Базові налаштування A-REX ==== | ==== Базові налаштування A-REX ==== | ||
Конфігурація базових параметрів A-REX відбувається в секції ''[grid-manager]''. Тут встановлюються параметри обробки задач (ліміти, часові інтервали, тощо), шляхи до необхідних файлів та директорій, параметри передачі файлів, журналів а також конфігуруються плагіни. | Конфігурація базових параметрів A-REX відбувається в секції ''[grid-manager]''. Тут встановлюються параметри обробки задач (ліміти, часові інтервали, тощо), шляхи до необхідних файлів та директорій, параметри передачі файлів, журналів а також конфігуруються плагіни. | ||
Рядок 204: | Рядок 204: | ||
allownew="yes" | allownew="yes" | ||
| | ||
- | В наведеному прикладі визначено порт для роботи (2811) та динамічні порти для передачі даних (9000-9300). Вказані значення є значеннями за замовчуванням, але їх явна присутність в конфігураційному файлі зменшує імовірність забути відкрити такі порти в фаерволі :-) | + | В наведеному прикладі визначено порт для роботи (2811) та динамічні порти для передачі даних (9000-9300). Вказані значення є значеннями за замовчуванням, але їх явна присутність в конфігураційному файлі зменшує імовірність забути відкрити такі порти в фаєрволі :-) |
Параметр ''allowunknown'' визначає можливість авторизації користувачів, які відсутні в файлі відповідності (grid-mapfile). За базовою авторизацією виключно за файлом відповідності, інші користувачі не повинні буди авторизовані. | Параметр ''allowunknown'' визначає можливість авторизації користувачів, які відсутні в файлі відповідності (grid-mapfile). За базовою авторизацією виключно за файлом відповідності, інші користувачі не повинні буди авторизовані. | ||
Рядок 250: | Рядок 250: | ||
Таким чином необхідним елементом роботи є співставлення грід-ідентифікації (сертифікату користувача) та локального облікового запису - відображення користувачів. | Таким чином необхідним елементом роботи є співставлення грід-ідентифікації (сертифікату користувача) та локального облікового запису - відображення користувачів. | ||
- | Найбільш простим варіантом є статичне відображення за так званим файлом відповідності (grid-mapfile), де кожному DN сертифікату користувача ставиться у відповідність локальне ім'я акаунту. | + | Найбільш простим варіантом є статичне відображення за так званим файлом відповідності (grid-mapfile), де кожному DN сертифіката користувача ставиться у відповідність локальне ім'я акаунту. |
Самий простий спосіб - використовувати єдиний акаунт для всіх грід-користувачів, проте за такого варіанту контроль доступу фактично відсутній. Один грід-користувач може отримати доступ до даних чи завадити роботі завдання іншого грід-користувача (можливо і ненавмисне), адже в межах операційної системи вони працюють під одним і тим самим акаунтом. | Самий простий спосіб - використовувати єдиний акаунт для всіх грід-користувачів, проте за такого варіанту контроль доступу фактично відсутній. Один грід-користувач може отримати доступ до даних чи завадити роботі завдання іншого грід-користувача (можливо і ненавмисне), адже в межах операційної системи вони працюють під одним і тим самим акаунтом. | ||
Рядок 438: | Рядок 438: | ||
preferredpattern="storage.immsp.kiev.ua|.ua$" | preferredpattern="storage.immsp.kiev.ua|.ua$" | ||
| | ||
- | При такій конфігурації, при найявності файлу на storage.immsp.kiev.ua він буде отриманий саме з цього серверу, потім з будь-якого серверу ім'я якого закінчується на .ua а вже потім з усіх інших серверів. | + | При такій конфігурації, при найявності файлу на storage.immsp.kiev.ua він буде отриманий саме з цього сховища даних, потім з будь-якого серверу ім'я якого закінчується на .ua а вже потім з усіх інших серверів. |