Глава 3. Организация системы доступа пользователей и разработка технических принципов запуска ресурсоемких приложений
Для организации системы доступа для пользователей системы распределенных вычислений в нашем Облаке мы использовали продукты Globus Tooolkit и Univa Grid Engine. Эти продукты мы анализировали на разных платформах ПМПУ СПбГУ и ВТИТ ЛЭТИ. Чтобы обеспечит удобный и безопасный доступ пользователей, в работе исследованы надежные методики аутентификации и авторизации на базе интерфейсов и протоколов Грида в качестве основы системы безопасности в облачных вычислениях. Для этих целей был использован программный продукт Globus Toolkit. Globus Toolkit -это один из основных инструментов, применяемых для построения Грид-систем и их приложений. Globus является open-source ПО, имеет большое пользовательское сообщество, хорошую документацию, мощную и стандартизированную систему безопасности. Поэтому мы были выбраны Globus Toolkit для системы доступа. Univa Grid Engine - Этот продукт предназначен для сетей класса Cluster Grid и доступен бесплатно. Univa Grid Engine объединяет вычислительные ресурсы для решения особо сложных задач и предлагает эффективный подход для решения таких задач. Поэтому мы были выбраны Univa Grid Engine для системы управления распределенными ресурсами. MOSIX – системное программное обеспечение и одноименная технология для реализации масштабируемых вычислительных кластеров. MOSIX можно рассматривать как операционную систему мульти-кластера, которая включает автоматическое обнаружение ресурса и динамическое распределение рабочей нагрузки, обычно она загружается на уединенных компьютерах с большим количеством процессоров. . Поэтому мы были выбраны Mosix для создания эффективной вычислительной системы.
Для организации системы доступа пользователей к распределенной вычислительной среде на основе технологии облачных вычислений можно разделить на следующие части:
Рисунок.3.1. Организация системы доступа пользователей к распределенной вычислительной среде
Разработка системы безопасности грида в систему облачных вычислений
Для использования ресурсов пользователю необходимо пройти процесс регистрации, чтобы получить персональный пользовательский сертификат. это своего рода электронный документ, подтверждающий личность пользователя при доступе к облачным ресурсам. На данном этапе разработана аутентификация и авторизация пользователей с помощью сертификатов для обеспечения системы безопасности облачных приложений. Grid Security Infrastructure (GSI) – компонент, предоставляющий API для этих целей. Чтобы зашифровать ту информацию, которая передаётся в облако, особенно параметры, которые связаны с входом в систему облака, в GSI используется технологию асимметричного шифрования с «открытым ключом». Каждый пользователь или ресурс имеет пару ключей: открытый(public), который доступен для всех, и закрытый (private), доступ к которому имеет только его обладатель. В качестве идентификаторов пользователей и ресурсов в GSI используются цифровые сертификаты X.509. Цифровой сертификат– это открытый ключ обладателя сертификата с интегрированной персональной информацией, такой как имя пользователя, его электронный адрес, место работы, срок действия сертификата и т. д. Каждый сертификационный центр проводит свою политику, которая определяет правила создания и подписания сертификатов.
Globus использует SAML(Security Authorization Markup Language) для обеспечения защиты сообщений, аутентификации, делегирования и авторизации таким образом:
TLS (на транспортном уровне) или WS-Security и WS-SecureConversation (на уровне сообщений) используются в качестве механизма защиты сообщений в комбинации с SOAP.
Сертификат Конечного Пользователя X.509 используются в качестве реквизитов пользователя при аутентификации.
Сертификат Прокси X.509 используется для делегирования.
SAML используется для авторизации.
файл авторизации Globus (grid-mapfile)
Рисунок.3.2. компоненты для обеспечения защиты сообщений
Вот в облаке создана система безопасности с использованием надежных методов аутентификации и авторизации для обеспечения системы безопасности облачных приложений. Теперь мы будем тестировать виртуальной облачной вычислительной комплекс на различных задачах и приступать к работе с сервисами. Сначала установим GridFTP – сервис для передачи данных по протоколу gsiftp. Для доступа к данным клиент использует команду globus-url-copy. Этот клиент может получить доступ к информации по различным протоколам (hhtp, https, ftp, gsiftp, file). Для запуска приложения использовались UGE и GRAM. Univa Grid Engine (UGE) используется для системы управления ресурсами облака. Компания Univa решила продолжить разработку проекта Sun Grid Engine независимо от Oracle. Univa Grid Engine предназначен для сетей класса Cluster Grid. Univa Grid Engine объединяет вычислительные ресурсы для решения особо сложных задач и предлагает эффективный подход для решения таких задач.
Рисунок.3.3. Структура консолидации и интеграции программных комплексов в облаке