BÁO CÁO SEMINAR MÔN TÍNH TOÁN LƯỚI NGƯỜI THỰC HIỆN: XƠN XAY NGUYỄN TUẤN VIỆT TRẦM THẾ PHIÊN ĐỀ TÀI: GRID COMPUTING MIDDLEWARE 1.Giới thiệu: Về khía cạnh người sử dụng thì môi trường lướ
Trang 1BÁO CÁO SEMINAR MÔN TÍNH TOÁN LƯỚI
NGƯỜI THỰC HIỆN:
XƠN XAY NGUYỄN TUẤN VIỆT TRẦM THẾ PHIÊN
ĐỀ TÀI:
GRID COMPUTING MIDDLEWARE
1.Giới thiệu:
Về khía cạnh người sử dụng thì môi trường lưới có thể được chia làm 3 lớp:
*Lớp ứng dụng
*Lớp giữa
*Lớp cơ sở hạ tầng
1.1.Lớp ứng dụng:
Trong môi trường lưới có rất nhiều loại ứng dụng khác nhau có nhu cầu sử dụng tài nguyên của hệ thống tính toán lưới bên dưới, trong đó có những ứng dụng như việc truy xuất dữ liệu qua điện thoại
di động, hay các máy trạm cần tài nguyên cho việc tính toán của nó, hay là các hệ thống mô phỏng cần một lượng rất lớn dữ liệu để trực quan hóa các kết quả thí nghiệm
1.2.Lớp cơ sở hạ tầng:
Bao gồm các hệ thống siêu máy tính, clusters, các hệ thống lưu trữ dữ liệu, các phòng thí nghiệm, hệ thống mạng internet toàn cầu, … Các hệ thống cơ sở hạ tầng này cung cấp khả năng tính toán rất lớn, có khả năng lưu trữ lượng dữ liệu vô cùng lớn, chẳng hạn như dữ liệu thu được từ việc thu thập
dữ liệu khi theo dõi chuyển động của các vì sao,…
1.3.Lớp giữa:
Khi đó lớp giữa (grid middleware) chính là lớp đóng vai trò như là 1 bức tường mỏng bao bọc lấy
lớp cơ sở hạ tầng Nó có khả năng che dấu mọi sự phức hợp bên dưới của lớp cơ sở hạ tầng, nhưng lại cung cấp cho lớp ứng dụng những giao tiếp được chuẩn hóa nhằm làm đơn giản hóa cho các user
có khả năng sử dụng dễ dàng hơn Hình 1 dưới đây sẽ minh họa cho 3 lớp này:
Trang 2Hình 1 Môi trường lưới
Từ đó, ta rút ra được 3 kết quả chính mà môi trường lưới phải đối mặt:
- Sự phức hợp (Heterogeneity): Như đã nói ở trên, cơ sở hạ tầng lưới bao gồm rất nhiều
loại tài nguyên khác nhau, và thuộc vào nhưng vùng quản trị, địa lý khác nhau, có tiềm năng mở rộng toàn cầu
- Khả năng mở rộng (Scalability): tức là làm sao để đảm bảo được rằng, khi độ phức tạp
của bài toán tăng lên N lần thì cùng với sự tăng lên khả năng tính toán N lần mà vẫn đảm bảo được hiệu quả của bài toán gần như ban đầu Điều này làm tăng mức độ thử thách cho môi trường lưới, bởi vì như đã nhấn mạnh rằng môi trường lưới có tính phức hợp Việc mở rộng bài toán sẽ làm vượt ra ngoài việc sử dụng tài nguyên cục bộ, làm phát sinh như cầu về sự xác thực, tin tưởng hay về bảo mật Việc mở rộng bài toán cũng làm tăng mức độ phức hợp của bài toán vì phải sử dụng đến tài nguyên của các hệ thống bên ngoài có thể không đồng nhất với hệ thống bên trong
- Khả năng thích nghi (Adaptability): Trong môi trường lưới, việc xảy ra lỗi là chuyện tất
yếu, không phải là 1 ngoại lệ Việc sử dụng càng nhiều tài nguyên sẽ làm tăng xác suất xảy ra lỗi Do đó, các nhà quản lý tài nguyên lẫn ứng dụng phải làm sao để phản ứng 1 cách linh động để có được hiệu suất tính toán cao nhất từ những tài nguyên và dịch vụ có sẵn
2.Định nghĩa Grid middleware:
Grid middleware là phần mềm hệ thống nằm giữa lớp ứng dụng và hệ điều hành
Nó có khả năng:
- Cung cấp các dịch vụ cho các ứng dụng Bao gồm các dịch vụ về khám phá tài
nguyên(discovery), lưu trữ (storage), thực thi (execution), thông tin (information), theo dõi tài nguyên (resource monitoring), kiểm lỗi và phục hồi (failure detector and
recovery),… Đây là các dịch vụ cốt lõi và thiết yếu nhất để làm sao user có thể tham gia
Trang 3vào môi trường lưới Chẳng hạn, khi 1 user muốn sử dụng 1 tài nguyên tính toán mà đã được mô tả trước, thì dịch vụ khám phá tài nguyên sẽ dò tìm ra những loại tài nguyên thích hợp cho user, sau đó sẽ cấp phát cho user ứng với quyền hạn mà user đó có thông
qua các dịch vụ về bảo mật (security) Sau khi được cấp phát, các dịch vụ theo dõi về thông tin tài nguyên, theo dõi việc thực thi của job, phân bổ job (scheduling) sao cho hợp
lý,… Như vậy, ứng với mỗi quá trình đáp ứng yêu cầu của user, có rất nhiều dịch vụ tham gia vào quá trình này
- Che dấu sự phức hợp (heterogeneous) của môi trường lưới: Bởi vì cơ sở hạ tầng của môi
trường lưới là phức hợp, đó là sự tham gia của nhiều tổ chức, nhiều hệ thống máy tính khác nhau, mỗi hệ thống lại chạy trên nền hệ điều hành khác nhau, như Unix, Linux, Sun Solaris, Mac OS,… Nhưng đối với cái nhìn của user, môi trường lưới dưới vỏ bọc của
Grid middleware, đó là 1 hệ thống tính toán lớn trong suốt (transparent) Khi user yêu
cầu thực thi 1 công việc nào đó, user không cần quan tâm đến việc thực thi công việc của mình nằm trên những tài nguyên nào, ở xa hay gần, nằm ở đâu,… quan trọng là kết quả
mà người dùng nhận được, thời gian đáp ứng,…
- Cung cấp các giao tiếp đã được chuẩn hóa cho ứng dụng
3.Mục đích của Grid middleware:
Có 3 mục đích:
- Xây dựng các giao tiếp, và các giao thức có tính mục đích chung, tính mở và tính chuẩn.
Bởi vì hệ thống lưới được xây dưng trên những giao tiếp và giao thức với rất nhiều mục đích khác nhau Những giao tiếp và giao thức này điều chỉ ra được các kết quả cơ bản, mang tính nền tảng như về việc xác nhận, xác thực, khám phá tài nguyên, truy xuất tài nguyên Do đó, việc xây dựng các giao tiếp, giao thức chuẩn và mở là rất quan trọng, nếu không, chúng ta chỉ xây dựng được những ứng dụng mang tính đặc thù mà thôi
- Định nghĩa các giao thức chuẩn: Nó định nghĩa nội dung và chuỗi các sự kiện trao đổi
thông điệp sử dụng các thao tác yêu cầu từ xa Điều này rất quan trọng và thiết để thực
hiện tính interoperability (nghĩa là khả năng mà 2 thực thể khác nhau có thể làm việc với
nhau, và được thực hiện bởi các giao thức thông thường) mà hệ thống lưới phụ thuộc vào
- Cung cấp các API chuẩn: đó là các giao diện lập trình ứng dụng chuẩn, định nghĩa các
giao tiếp chuẩn để viết mã thư viện, và cấu trúc các thành phần của Grid bằng cách cho phép các thành phần mã được sử dụng lại
Trang 44.Kiến trúc phân tầng của lưới:
Hình 2: Kiến trúc phân tầng của hệ thống lưới.
Kiến trúc lưới bao gồm nhiều tầng với những độ rộng khác nhau, được thể hiện thông qua minh họa dạng hình đồng hồ cát như hình 2 (hình 2.2 – chương 2 – trong quyển “F.Berman,G.Fox,T.Hey-Grid Computing-Making The Global Infrastructure a Reality (Wiley2003)” Phần hẹp nhất, phần cổ
của đồng hồ cát là lớp về các giao thức kết nối và giao thức tài nguyên (Resource and connectivity
protocols) Lớp này chứa 1 tập rất nhỏ các giao thức chính và giao diện lập trình ứng dụng mà sẽ
được hiện thực ở mọi nơi Lớp trên cùng của đồng hồ cát là tập các ứng dụng và công cụ hỗ trợ Và phần nằm dưới cùng của đồng hồ cát là lớp cở sở hạ tầng, nó phụ thuộc nhiều vào công nghệ
Dựa hình 2, ta cũng nhận ra rằng, Grid middleware chính là phần nằm trong hình chữ nhật viền đen Nó bao gồm 3 lớp chính:
- Lớp giao thức kết nối – Connectivity layer
- Lớp giao thức tài nguyên – Resource layer
- Lớp giao thức nhóm – Collective layer
4.1.Lớp giao thức kết nối – Connectivity layer
Đây là lớp có chức năng giao tiếp một cách dễ dàng và an toàn Lớp kết nối định nghĩa giao thức
giao tiếp (communication) và giao thức xác thực (authentication).
- Giao thức giao tiếp cho phép các thông điệp có thể được trao đổi với nhau giữa các tài
nguyên của lớp Fabric.
- Giao thức xác thực xây dựng trên các dịch vụ giao tiếp bằng cách cung cấp cơ chế bảo mật mã hóa cho việc xác định user và tài nguyên Các giải pháp xác thực cho môi trường
tổ chức ảo (VO – Virtual Organization) có thể có 4 đặc tính sau:
o Single sign-on: User có thể được xác thực chỉ 1 lần bằng cách đăng nhập vào hệ thống và có thể truy xuất vào nhiều tài nguyên lưới
Trang 5o Việc ủy quyền: User có khả năng ủy quyền cho 1 chương trình khác để thực thi giống như những hành vi của user khi user đã được xác thực Đến lượt chương trình có thể ủy quyền cho nhưng chương trình khác 1 cách tùy chọn
o Việc tích hợp với nhiều giải pháp bảo mật cục bộ: Đó là việc mỗi tổ chức, mỗi tài nguyên đã có nhưng giải pháp bảo mật riêng cho mình Do đó, các giải pháp bảo mật của hệ thống lưới sẽ tận dụng các giải pháp bảo mật cục bộ có sẵn này
mà không cần phải thay thế 1 giải pháp bảo mật mới, và chỉ cần cho phép ánh xạ vào môi trường cục bộ
o Mối quan hệ đáng tin cậy dựa trên user: Để user có khả năng truy xuất vào tài nguyên từ nhiều nhà cung cấp khác nhau, thì hệ thống bảo mật không cần phải yêu cầu các nhà cung cấp tài nguyên phải liên lạc với nhau để cấu hình cho môi trường mạng Chẳng hạn, nếu user có quyền truy xuất vào tài nguyên của tổ chức
A và B, thì user có thể truy xuất vào cả 2 tài nguyên của tổ chức A và B với nhau
mà không cần sự liên lạc giữa những nhà quản trị bảo mật của tổ chức A và B
4.2.Lớp giao thức tài nguyên – Resource layer
Đây là lớp có khả năng chia sẻ các tài nguyên đơn lẻ Nó định nghĩa các giao thức về sự thương lượng an toàn, khởi tạo, theo dõi, điều khiển, tài khoản và sự trả chi phí cho việc chia sẽ các thao tác trên những tài nguyên đơn lẻ Lớp tài nguyên sẽ được hiện thực bởi các giao thức để truy xuất và điều khiển các tài nguyên cục bộ, bao gồm 2 lớp chính:
- Giao thức thông tin (Information protocol) được sử dụng để rút ra thông tin về cấu trúc
và trạng thái của tài nguyên chẳng hạn như cấu hình của tài nguyên, tải hiện thời, hay chính sách sử dụng,…
- Giao thức quản lý (Management protocol) được sử dụng để thỏa thuận việc truy xuất
vào tài nguyên chia sẽ, chẳng hạn về yêu cầu tài nguyên (bao gồm việc đặt chỗ và chất lượng dịch vụ) và các thao tác thực hiện như khởi tạo, truy xuất tài nguyên,…
4.3.Lớp giao thức nhóm – Collective layer
Có khả năng quản lý 1 tập các tài nguyên trong khi lớp tài nguyên chỉ tập trung vào việc tương tác giữa các tài nguyên đơn lẻ Và nó dựa trên lớp kết nối và lớp tài nguyên để hiện thực rất nhiều hành vi chia sẽ mà không cần phải thay thế những yêu cầu mới ứng với mỗi tài nguyên được chia
sẽ Chẳng hạn:
- Directory service cho phép các thành viên tham gia vào tổ chức ảo có thể khám phá ra
tài nguyên hay các thuộc tính của tài nguyên Nó cho phép user truy vấn về tài nguyên bằng tên hoặc các thuộc tính như kiểu, sự sẵn sàng, hay tải
- Coallocation-allocation, scheduling, and brokering services cho phép các thành viên của
tổ chức ảo yêu cầu việc định vị cho 1 hay nhiều tài nguyên và phân bổ các task cho các tài nguyên thích hợp
- Monitoring and diagnotics services hỗ trợ việc theo dõi các tài nguyên của tổ chức ảo về
lỗi, việc tấn công hay việc quá tải
- Data replication services hỗ trợ quản lý việc lưu trữ tài nguyên để tối đa hiệu quả truy
xuất như thời gian đáp ứng, khả năng tin cậy, chi phí,…
- Grid-enabled programming systems cho phép các mô hình lập trình thân thiện, chẳng
hạn như MPI (Message-passing Interfaces),…
- Workload management systems and collaboration frameworks
- Software discovery service
Trang 6- Community authorization servers
- Community accounting and payment services
- Collaboratory services
5.Các công nghệ:
Nội dung về công nghệ của Grid middleware sẽ trình bày về Globus Toolkit, gLite, và cuối cùng
là bảng so sánh các công nghệ trên, trong đó có UNICORE
5.1.Globus Toolkit:
Sự phát triển về công nghệ của Globus Toolkit được thể hiện ở hình vẽ 3 dưới đây:
Hình 3 Quá trình phát triển của công nghệ Globus Toolkit.
Trước những năm 2003 là giai đoạn hình thành ở mức khái niệm với phiên bản nổi bật là GT2.0
Năm 2003 xuất hiện phiên bản GT3.0 sử dụng kiến trúc dịch vụ lưới mở (OGSA – Open Grid
Service Architecture) Giai đoạn sau năm 2003 là giai đoạn chuẩn hóa với sự xuất hiện của phiên
bản GT4.x sử dụng công nghệ WSRF – Web service resource framwork.
5.1.1.Globus Toolkit phiên bản 2:
Từ năm 1997, GT2 đã trở thành 1 chuẩn thực sự cho tính toán lưới Phiên bản này tập trung vào
tính sử dụng và tính interoperability, GT2 định nghĩa và hiện thực các giao thức, các giao diện lập
trình ứng dụng và các dịch vụ sử dụng hàng ngàn triển khai trên thế giới GT2 giải quyết được những vấn đề chung như sự xác nhận, khám phá tài nguyên, truy xuất tài nguyên GT2 cũng định nghĩa và hiện thực các giao thức, dịch vụ chuẩn GT2 đã đi tiên phong trong việc tạo ra hệ thống
lưới có tính interoperable và cho phép cải tiến hiệu quả công cụ lập trình trên lưới GT2 được xây
dựng dựa trên kiến trúc phân lớp của môi trường lưới, bao gồm 3 lớp chủ yếu:
- Lớp kết nối:
o Giao thức xác thực: hiện thực giao thức cơ sở hạ tầng bảo mật lưới (GSI – Grid
Security Infrastructure) dựa trên mã khóa công khai Giao thức này sử dụng cho
việc xác thực, bao vệ kết nối và xác nhận GSI được xây dựng và mở rộng dựa
vào giao thức bảo mật tầng vận chuyển (TLS – Transport Layer Security – định
nghĩa 1 giao thức về sự riêng tư và toàn vẹn dữ liệu giữa 2 ứng dụng kết nối với nhau)
o Giao thức giao tiếp dựa trên kiến trúc phân tầng Internet Tầng Internet sử dụng giao thức IP và ICMP Tầng vận chuyển sử dụng TCP, UDP Tầng ứng dụng sử dụng DNS, OSPF, RSVP,…
- Lớp tài nguyên: Bao gồm 1 tập nhỏ các giao thức chuẩn Bao gồm:
Trang 7o Giao thức thông tin tài nguyên lưới (GRIP – Grid Resource Information
Protocol) dựa trên LDAP – Lightweight Directory Access Protocol
o Giao thức quan lý và truy xuất tài nguyên GRAM – Grid Resource Access and
Management dựa trên chuẩn HTTP Giao thức này được sử dụng cho việc định
vị tài nguyên tính toán, theo dõi và điều khiển việc tính toán trên những tài nguyên đó
o GridFTP, một giao thức mở rộng giao thức truyền file Đó là giao thức quản lý việc truy xuất dữ liệu
- Lớp nhóm (Collective): bao gồm Meta Directory Service, GIIS – Grid Information Index
Servers hỗ trợ việc view trên tập con các tài nguyên, với giao thức thông tin LDAP Thư
viện đồng định vị tài nguyên của DUROC (DUROC co-allocation library).
5.1.2.Globus Toolkit phiên bản 3:
GT3 được xây dựng và mở rộng trên những công nghệ và khái niệm của GT2 Phiên bản này dựa
trên kiến trúc dịch vụ lưới mở (OGSA – Open Grid Services Architecture) Kiến trúc này dựa vào
những mục đích sau:
- Tập trung vào các hành vi của các thành phần: nghĩa là xác định các chức năng cần thiết của lưới, sau đó các hành vi sẽ được thực hiện dựa vào việc thiết lập các thông số
- Hướng dịch vụ: 1 dịch vụ là 1 thực thể mà interface của nó được định nghĩa trước.
- Sử dụng Web service: GT2 chỉ pha trộn nhưng giao thức ở mức thấp và không cung cấp
1 ngôn ngôn định nghĩa giao diện chuẩn nào Do đó, sự xuất hiện của Web service rất phù hợp với kiến trúc OGSA để tận dụng các chuẩn WS ( đó là Web Services Definition
Language – WSDL), các nền tảng ứng dụng và các công cụ phát triển.
5.1.3.Globus Toolkit phiên bản 4:
Trong phiên bản này, kiến trúc dịch vụ lưới mở yêu cầu phải có các dịch vụ có trạng thái (stateful
services) Hình 4 sau đây diễn tả mối quan hệ của GT4 đối với các công nghệ OGSA, WSRF và Web Service (Hình 1-2 – progtutorial GT4) GT4 sẽ hiện thực các dịch vụ ở mức cao vừa đủ cho các ứng
dụng lưới và hiện thực WSRF OGSA yêu cầu stateful Web service và WSRF đặc tả Web service này.
Trang 8Hình 4 Quan hệ giữa GT4 với OGSA,WSRF, và Web Service.
5.2.gLite:
5.2.1.Giới thiệu
Enabling Grids for E-sciencE project (EGEE) là một dự án Research Infrastructures Grid quan trọng nhất của châu Âu và là hạ tầng Grid lớn nhất Nó có sự tham gia của 70 thành viên của 27 quốc gia và được cung cấp hơn 20000 CPU, khoảng 200 site và 10 petabyte lưu trữ mạng có sẵn Bắt đầu từ tháng 4 2004, EGEE đã phát triển một cách nhanh chóng từ phạm vi châu Âu đến toàn cầu
Hệ thống và các ứng dụng Grid hướng đến việc tích hợp, quản trị các tài nguyên và dịch vụ trong phạm vi những Tổ chức ảo (Virtual Organization) động, phân tán và hỗn tạp qua việc quản trị truyền thống và các miền tổ chức Một Tổ chức ảo (VO) bao gồm một tập các cá nhân hoặc tổ chức
mà có quyền truy cấp đến máy tính, dữ liệu, phần mềm và các tài nguyên khác phục vụ cho việc giải quyết các vấn đề hợp tác và các mục đích khác VO là một khái niệm cung cấp một ngữ cảnh cho các hoạt động của Grid Việc chia sẻ các tài nguyên cần thiết phải có sự điểu khiển cao với người cung cấp và tiêu thụ tài nguyên cần phải được chỉ định rõ ràng cẩn thận tài nguyên nào được chia sẻ,
ai được phép chia sẻ và những điều kiện thỏa mãn khi chia sẻ Việc chia sẻ tài nguyên được làm thuận tiện và được điều khiển bởi một tập các dịch vụ mà cho phép tài nguyên có thể được khám phá, truy cập, cấp phát, giám sát và cấp tài khoản mà không cần quan tâm đến vị trí địa lý của chúng Từ đó các dịch vụ này cung cấp một lớp giữa tài nguyên và ứng dụng vật lý, mà thường được gọi là Grid Middleware
5.2.2.Kiến trúc
Dịch vụ gLite Grid là một kiến trúc hướng dịch vụ (SOA) cho phép dễ dàng mở rộng giữa các dịch vụ Grid và đáp ứng thuận lợi hơn các tiêu chuẩn được công bố sau này như OGSA Các dịch vụ này được kỳ vọng sẽ làm việc phối hợp cùng nhau để đạt được kết quả đến người dùng cuối, tuy vậy nó vẫn có thể được triển khai và sử dụng một cách độc lập cho phép việc khai thác chúng trong những ngữ cảnh khác nhau Hình sau mô tả các dịch vụ ở cấp cao có thể được chia thành 5 nhóm dịch vụ
Dịch vụ Security bao gồm các dịch vụ Authentication, Authorization và Auditing mà cho
phép nhận dạng các thực thể (người sử dụng, hệ thống và dịch vụ), cho phép hoặc từ chối truy cập đến dịch vụ hay tài nguyên và cung cấp thông tin cho việc phân tích các sự kiện liên quan đến bảo mật Nó cũng cung cấp các chức năng cho việc bí mật dữ liệu và một dịch vụ kết nối động
Dịch vụ Information và Monitoring cung cấp một cơ chế xuất bản và tiêu thụ thông tin và
sử dụng nó cho mục đích giám sát Hệ thống thông tin và giám sát có thể được sử dụng trực tiếp để xuất bản, ví dụ như thông tin liên quan đến tài nguyên trên Grid Các dịch vụ đặc biệt hơn như Job Monitoring và Network Performance Monitoring có thể được xây dựng trên đỉnh
Dịch vụ Job Management Các dịch vụ chính có liên quan đến việc quản trị và thực thi job
là thành phần tính toán, quản trị workload, tài khoản, phát sinh job và các dịch vụ quản trị gói
Các thành phần tính toán CE cung cấp triều tượng hóa của một tài nguyên tính toán (điển hình như
là một hàng đợi khối của một cluster của siêu máy tính hay thậm chí là workstation đơn) Nó cung cấp thông tin về các tài nguyên bên dưới và cung cấp một giao diện chung để xác nhận và quản lý job trên tài nguyên
Trang 9Hệ thống quản lý workload WMS là một trình siêu lập biểu mức Grid mà lập lịch cho trên
các CE có sẵn mà phù hợp với tham khảo người dùng và các chính sách thông dụng Nó cũng nắm giữ các job mà nó quản trị một cách tin cậy qua dịch vụ log và kế toán
Dịch vụ phát sinh job JP cung cấp thông tin liên tục trên các job được xử lý trên hạ tầng
Grid cho việc xem xét sau đó, các hoạt động data-mining và quá trình làm lại có thể xảy ra Cuối cùng dịch vụ quản lý gói PM cung cấp việc triển khai động của các phần mềm ứng dụng
Dịch vụ Data Ba dịch vụ chính có liên quan đến việc truy cập file và dữ liệu: Storage Element, File
& Replication Catalog và Data Management Trong tất cả các dịch vụ quản lý dữ liệu miêu tả bên dưới có tính chất của dữ liệu ở cấp độ file Tuy nhiên, các dịch vụ này thì đủ khái quát để mở rộng đến các cấp độ khác
Storage Element (SE) cung cấp các triều tượng hóa về tài nguyên lưu trữ (mà có thể tiếp cận
từ dịch vụ đĩa đơn giản đến hệ thống lưu trữ băng phân cấp phức tạp) nhiều như CE làm cho các tài nguyên tính toán Dịch vụ danh mục sẽ nắm giữ vị trí dữ liệu cũng như các siêu dữ liệu liên quan (checksum hoặc kích thước file) và dịch vụ di chuyển dữ liệu cho phép dữ liệu được quản trị được truyền giữa các SE Việc truy cập file được điều khiển bởi Access Control Lists (ACLs) Siêu dữ liệu đặc tả ứng dụng được mong muốn không chỉ được lưu trữ trong các dịch vụ gLite cơ bản mà còn trong thư mục siêu dữ liệu đặc tả ứng dụng Tất cả các dịch vụ quản trị dữ liệu hoạt động trên các file đơn hoặc là tập hợp các file
Hình 5 Kiến trúc dịch vụ của gLite.
Trang 10Chú ý rằng kiến trúc gLite không có các tình huống triển khai đặc tả áp đặt tổng quát Quan trọng nhất là các instance dịch vụ có chia sẻ đa VO mà làm thuận tiện cho việc mở rộng và hoạt động của hệ thống Grid mặc dù một VO có thể yêu cầu chính instance của nó
5.2.3.Security
Kiến trúc bảo mật EGEE dựa trên việc thiết lập tốt trong cộng đồng Grid Về mặt
authentication việc lưu trữ ủy nhiệm bảo đảm đúng việc bảo mật ủy nhiệm trong khi chứng nhận proxy hỗ trợ sign-on Giao thức bảo mật cấp độ thông điệp và vận chuyển TLS, GSI, và WS-Security đảm bảo tích hợp, xác thực và tin cậy
Thuộc tính cấp quyền (authority) cho phép VO quản trị việc điều khiển truy cập Trong khi dịch vụ xác nhận chính sách cho phép việc hợp nhất và quản trị trung tâm của chính sách thông dụng Một nền tảng Authorization cho phép việc tùy chọn, phân xử, tập hợp các chính sách từ các miền quản trị khác nhau cũng như việc tích hợp các bộ chức dịch vụ và các dịch vụ kế thừa
Các chức năng miêu tả trong kiến trúc bảo mật EGEE trong trường hợp tốt nhất nhúng vào các bộ chứa dịch vụ hay chính trong ứng dụng, Vì những lý do hoạt động, nó không đưa vào như là các Web Service riêng biệt Vấn đề quan trọng là kiến trúc bảo mật được sử dụng bởi EGEE cho phép việc mở rộng với các triển khai Grid và các dự án Middleware khác
Hình sau sẽ mô tả một cách tổng quát về các thành phần kiến trúc bảo mật tương tác với một số luồng yêu cầu tiêu biểu người sử dụng truy cập đến tài nguyên
- Người sử dụng thu được ủy quyền Grid từ các lưu trữ ủy quyền và các token cần thiết mà xác nhận quyền người sử dụng truy cập tài nguyên Các ủy quyến này có thời gian sống ngắn và được truyền từ các ủy quyền dài hạn hơn, chẵn hạn như chứng nhận nhận dạng X.509 được đưa ra bởi CA EGEE sử dụng myProxy là bộ lưu trữ ủy nhiệm và Virtual Organization Membership Service VOMS như một cấp quyền thuộc tính VOMS cũng còn được sử dụng để quản lý các thành viên của VO
- Người sử dụng và các bộ chứa dịch vụ sẽ xác thực nhận dạng lẫn nhau và thiết lập một kênh kết nối bảo mật qua mạng (mở) với việc bảo vệ tích hợp, xác thực và tin cậy và trên đó thông điệp SOAP được truyền Mặc định nó được hoàn tất bởi việc sử dụng HTTP qua TLS
Và sự kiện kết nối được thiết lập sẽ được ghi lại
- Trong việc xác thực ở bước 2, lớp xác thực đánh giá việc nhận dạng người dùng với anchor
và thông tin thu hồi ủy quyền nếu nó tồn tại Kết quả của việc đánh giá này sẽ ghi lại Các bộ chứa dịch vụ tiếp nhận payload và định hướng nó đến các điểm cuối chính xác Trong trường hợp bảo mật cấp độ thông điệp, việc kiểm tra tính xác thực và tích hợp diễn ra ở đây (sau khi thông điệp được tiếp nhận từ mạng)
- Thủ tục cấp quyền bảo đảm rằng người dùng sẽ được cho phép truy cập đến tài nguyên, bởi việc xác nhận thuộc tính kết hợp và chính sách VO (gởi cùng với yêu cầu) với chính sách site nội bộ và các nguồn khác của điều khiển truy cập
- Trong trường hợp sự ủy quyền đại diện được sử dụng, người dùng sử dụng ủy quyền đến tài nguyên được ủy quyền đóng vai trò nhân danh người dùng Chú ý tuy vậy việc ủy quyền thông thường diễn ra bởi một yêu cầu điểm cuối riêng lẻ và là phần của luồng thông điệp cấp độ ứng dụng giữa người dùng và dịch vụ
- Đặc tả ứng dụng lấy yêu cầu Thủ tục cấp quyền có thể sử dụng cho việc đánh giá và tham khảo thêm
