使用AFS, Active Directory和SSSD搭建用于集成電路設(shè)計(jì)的分布式存儲(chǔ)系統(tǒng) 【一】

• 集成電路設(shè)計(jì)環(huán)境需要怎樣的存儲(chǔ)系統(tǒng)？
• • 共享性
  • 位置無(wú)關(guān)(路徑透明)
  • 安全性
  • 可靠性
  • 可伸縮性
  • 易用性
  • 可維護(hù)性
  • 高可訪問(wèn)性
  • 兼容性
  • 低成本
  • 足夠的讀寫速度
  • 紀(jì)律性
  • 兼容流行的集群任務(wù)調(diào)度軟件
• 集成電路設(shè)計(jì)環(huán)境需要怎樣的用戶系統(tǒng)？
• • 統(tǒng)一賬戶管理
  • 統(tǒng)一密碼管理
  • 賬戶移交
  • 強(qiáng)健的密碼校驗(yàn)協(xié)議

集成電路設(shè)計(jì)環(huán)境需要怎樣的存儲(chǔ)系統(tǒng)？

在討論解決方案以前我們先聊一聊需求。對(duì)于一個(gè)典型的集成電路設(shè)計(jì)環(huán)境，我們需要怎樣的存儲(chǔ)和用戶系統(tǒng)? 我們先看存儲(chǔ)。

共享性

假如你是一位IC設(shè)計(jì)工程師，公司告訴你有30臺(tái)Linux設(shè)計(jì)服務(wù)器可以供你和你的同事使用，你最先想到的需要是什么？

我可不想管理30個(gè)Linux賬號(hào)！最好只用同一個(gè)賬號(hào)，最好只要管理一份自己的$HOME文件夾，對(duì)不對(duì)？

如果要訪問(wèn)同事的設(shè)計(jì)庫(kù)單元，最好只要知道一個(gè)路徑，而不用管他的庫(kù)存在哪臺(tái)服務(wù)器上。

如果張三的庫(kù)只能通過(guò)服務(wù)器A訪問(wèn)，李四的庫(kù)只能通過(guò)服務(wù)器B訪問(wèn)，而你需要同時(shí)引用兩個(gè)庫(kù)里的設(shè)計(jì)單元，該使用哪臺(tái)服務(wù)器呢？

所以，最好所有的項(xiàng)目目錄可以從任何一個(gè)設(shè)計(jì)服務(wù)器上訪問(wèn)。

你說(shuō)，這不就好比一個(gè)公司內(nèi)部的云文件夾嘛？你說(shuō)對(duì)了。

與此相反，如果用戶在每一臺(tái)服務(wù)器上都要管理一個(gè)獨(dú)立的$HOME，當(dāng)服務(wù)器增加時(shí)，一切很快就會(huì)失去控制。

同理，EDA軟件和PDK的安裝最好只有一份拷貝，無(wú)論從哪臺(tái)服務(wù)器上調(diào)用HSPICE，需要的PATH環(huán)境變量都一樣。這樣一來(lái)，你就不用擔(dān)心.cshrc文件在一臺(tái)機(jī)器上有效，換臺(tái)機(jī)器就沒(méi)用了。

維持統(tǒng)一的設(shè)計(jì)環(huán)境不僅對(duì)普通用戶有好處，對(duì)IT管理員而言也有巨大的吸引力：

IT只需要維護(hù)一份EDA安裝拷貝，無(wú)論是版本升級(jí)、用戶培訓(xùn)還是二次開(kāi)發(fā)，都比維護(hù)多份安裝并保持它們隨時(shí)同步要容易許多。

共享性是幾乎所有網(wǎng)絡(luò)文件系統(tǒng)都能實(shí)現(xiàn)的目標(biāo)。Linux世界里流行的另一種文件系統(tǒng)，NFS (Network File System)也能做到。但是AFS在實(shí)現(xiàn)共享性的同時(shí)，還照顧到了其他幾樣對(duì)集成電路設(shè)計(jì)團(tuán)隊(duì)很重要的需求。

位置無(wú)關(guān)(路徑透明)

硬盤總是會(huì)壞的，服務(wù)器總是要淘汰的，系統(tǒng)是需要擴(kuò)容的。我們希望在進(jìn)行系統(tǒng)維護(hù)時(shí)，用戶仍然可以訪問(wèn)原有的文件。

你說(shuō)，這不難，可以通過(guò)將文件數(shù)據(jù)搬到其他文件服務(wù)器上實(shí)現(xiàn)。

但是IC設(shè)計(jì)環(huán)境有一個(gè)很特殊的要求，絕大多數(shù)IC工程師不希望數(shù)據(jù)的騰挪操作影響文件的路徑。

以Virtuoso為代表的很多EDA軟件通過(guò)路徑來(lái)確定設(shè)計(jì)庫(kù)的位置。如果一個(gè)設(shè)計(jì)庫(kù)（Virtuoso library）的路徑從

/server1/path/a

換成了

/server2/path/a

那么所有使用它的用戶就不得不更改自己的環(huán)境配置文件（比如Virtuoso的cds.lib )，以避免引用關(guān)系失效。

當(dāng)庫(kù)的引用關(guān)系變得復(fù)雜，用戶數(shù)量很大時(shí)，為了維護(hù)一臺(tái)文件服務(wù)器，要求相關(guān)用戶步調(diào)一致地臨時(shí)更改配置，幾乎是不可能的。

一種解決方案是虛擬化。用虛擬機(jī)來(lái)運(yùn)行文件服務(wù)器。需要更換硬件時(shí)，利用虛擬平臺(tái)提供的轉(zhuǎn)移技術(shù)，將文件服務(wù)所在的虛擬機(jī)轉(zhuǎn)移到其他物理主機(jī)，并保持文件服務(wù)的網(wǎng)絡(luò)IP地址不變。然后就可以對(duì)原來(lái)的物理主機(jī)進(jìn)行維護(hù)。

虛擬技術(shù)可以緩解路徑依賴問(wèn)題，但是在系統(tǒng)需要擴(kuò)容時(shí)，僅僅依靠虛擬化難以解決所有問(wèn)題。無(wú)論是選擇擴(kuò)充虛擬硬盤還是選擇增加虛擬機(jī)的個(gè)數(shù)，在擴(kuò)展性和維護(hù)性方面都會(huì)分別遇到其他瓶頸。

另一種解決方案，是讓文件的路徑與文件服務(wù)器的位置無(wú)關(guān)。

舉個(gè)例子，同樣是在server1上存儲(chǔ)一個(gè)庫(kù)，我們將它的路徑設(shè)計(jì)成這樣的格式:

/afs/abc/path/libm/

和之前的例子不同，server1這串字符(或者其IP地址)并不出現(xiàn)在路徑里。

這有什么好處呢？

當(dāng)我們需要將server1斷電，而使用server2臨時(shí)存儲(chǔ)這個(gè)庫(kù)時(shí)，我們可以

將整個(gè)目錄拷貝到server2

告訴設(shè)計(jì)服務(wù)器，訪問(wèn) /afs/abc/path/libm/，請(qǐng)移步server2的新位置。

于是對(duì)設(shè)計(jì)服務(wù)器的使用者而言，庫(kù)文件讀寫的感覺(jué)上和原來(lái)是完全一樣的，因?yàn)槁窂經(jīng)]有變化。

這時(shí)IT就可以在工作時(shí)間將server1斷電下線進(jìn)行維護(hù)。等server1維護(hù)完成重新上線，IT將libm遷移回server1，并將路徑重新映射到server1的位置，就完成了無(wú)縫轉(zhuǎn)換。

在用戶看來(lái)，這一切似乎都沒(méi)有發(fā)生，因?yàn)閹?kù)文件一直可以訪問(wèn)，而且它的路徑?jīng)]有變化。

這用文件系統(tǒng)的術(shù)語(yǔ)就叫路徑透明，或者位置無(wú)關(guān)性。用戶不需要關(guān)心文件的具體存儲(chǔ)位置，而只要知道其在文件系統(tǒng)里的路徑，感覺(jué)這些文件是存儲(chǔ)在云里。

當(dāng)然上面例子里的server1和server2仍然可以是虛擬機(jī)。AFS可以和虛擬技術(shù)結(jié)合使用。這樣可以進(jìn)一步提高文件服務(wù)器的靈活性。

避免文件路徑和服務(wù)器位置綁定，有很現(xiàn)實(shí)的意義。

如果做不到這一點(diǎn)，IT就只能等到所有人下班了才能對(duì)服務(wù)器進(jìn)行維護(hù)操作。考慮到團(tuán)隊(duì)可能分布于不同時(shí)區(qū)，有些人可能在通宵運(yùn)行仿真，找到這樣的時(shí)間十分困難。也許是凌晨2點(diǎn)，也許是周末的凌晨2點(diǎn)，也許是節(jié)假日長(zhǎng)周末的凌晨2點(diǎn)……

而如果路徑透明，那么IT就可以在正常工作時(shí)間完成這個(gè)工作，IC工程師也不用擔(dān)心舊的設(shè)計(jì)引用失效了。

我們將會(huì)看到，路徑透明是AFS系統(tǒng)實(shí)現(xiàn)高伸縮性、高可靠性和高訪問(wèn)性的關(guān)鍵。

安全性

安全性對(duì)于IC設(shè)計(jì)企業(yè)至關(guān)重要。誰(shuí)都不希望自己的RTL代碼或者設(shè)計(jì)原理圖因?yàn)槲唇?jīng)授權(quán)的訪問(wèn)而泄露。

有些企業(yè)或組織為了安全性不得不實(shí)行物理隔絕，以攝像頭監(jiān)視服務(wù)器房間入口，以指紋或面部識(shí)別來(lái)控制房間的入口。然而當(dāng)團(tuán)隊(duì)擴(kuò)展到多個(gè)地域時(shí)，物理隔絕就會(huì)影響工作效率。

現(xiàn)實(shí)情況下，因?yàn)橐С侄嗟貐^(qū)多團(tuán)隊(duì)的協(xié)作，或者因?yàn)閱蝹€(gè)服務(wù)器房間容量有限，所以設(shè)計(jì)服務(wù)器往往需要分散部署在多個(gè)樓層里或者多個(gè)分支辦公室里，有一些甚至從公共的數(shù)據(jù)中心租賃。

這就帶來(lái)了一個(gè)安全問(wèn)題，如果惡意攻擊者在一臺(tái)服務(wù)器上獲得root權(quán)限以后就能訪問(wèn)核心數(shù)據(jù)，那么安全性最差的設(shè)計(jì)服務(wù)器就決定了整個(gè)設(shè)計(jì)環(huán)境的安全。

我們并不希望這樣。

我們希望即使一臺(tái)設(shè)計(jì)服務(wù)器被攻陷，黑客也只能訪問(wèn)這臺(tái)服務(wù)器本地的文件（比如VIM編輯器或者Python的可執(zhí)行程序，這沒(méi)什么大不了的），而無(wú)法訪問(wèn)通過(guò)網(wǎng)絡(luò)共享的核心IP文件。

這意味著什么呢？這意味著IC設(shè)計(jì)組織需要的網(wǎng)絡(luò)文件系統(tǒng)不應(yīng)該信任任何一臺(tái)設(shè)計(jì)服務(wù)器。

如果一臺(tái)設(shè)計(jì)服務(wù)器告訴我們A是合法用戶，我們不加鑒別就相信了，那么如果這臺(tái)服務(wù)器被攻陷了，實(shí)際使用的人是B呢？

相反，如果我們從一開(kāi)始就不信任任何一臺(tái)設(shè)計(jì)服務(wù)器本身的用戶系統(tǒng)，那么即使攻擊者將自己提升成了某臺(tái)設(shè)計(jì)服務(wù)器的本地管理員(root)，在沒(méi)有得到文件系統(tǒng)授權(quán)的情況下，他將仍然無(wú)法訪問(wèn)共享的核心設(shè)計(jì)數(shù)據(jù)。

采用這樣的系統(tǒng)設(shè)計(jì)，我們就不再需要無(wú)差別地保護(hù)分布在各地每一臺(tái)設(shè)計(jì)服務(wù)器，而可以集中資源保護(hù)和優(yōu)化中央鑒權(quán)系統(tǒng)。

以上我們討論了安全性的一個(gè)例子。安全性還包括訪問(wèn)控制和授權(quán)地設(shè)計(jì)。

在IC設(shè)計(jì)組織中，往往根據(jù)角色會(huì)定義不同的訪問(wèn)權(quán)限。

比如負(fù)責(zé)項(xiàng)目A的成員不應(yīng)該訪問(wèn)項(xiàng)目B，或者為項(xiàng)目C雇傭的外包團(tuán)隊(duì)不應(yīng)該訪問(wèn)項(xiàng)目D.

又比如，版圖工程師不應(yīng)該改動(dòng)仿真目錄，前端設(shè)計(jì)師不應(yīng)該改寫版圖文件，等等。

我們希望系統(tǒng)在認(rèn)清用戶身份以后，可以支持訪問(wèn)控制。

不僅如此，我們還希望訪問(wèn)控制的授權(quán)可以下放。為什么要下放控制權(quán)？

如果所有的訪問(wèn)授權(quán)都必須由系統(tǒng)管理員進(jìn)行，那么芯片設(shè)計(jì)項(xiàng)目和用戶增多后，系統(tǒng)管理員就會(huì)不堪重負(fù)，而且系統(tǒng)管理員并不一定能判斷用戶權(quán)限是否合理。能做出判斷的是各項(xiàng)目的實(shí)際領(lǐng)導(dǎo)者或者各部門的經(jīng)理。

另一個(gè)明顯的事實(shí)是，每個(gè)用戶都應(yīng)有權(quán)決定自己$HOME下的目錄分別可以被誰(shuí)訪問(wèn)。

所以我們希望系統(tǒng)可以支持權(quán)力下放。

系統(tǒng)管理員創(chuàng)建了項(xiàng)目目錄和存儲(chǔ)空間，然后就將目錄的管理權(quán)下放給一個(gè)或一組指定的用戶，由這些用戶決定誰(shuí)能對(duì)目錄做什么操作。如此對(duì)安全責(zé)任分包，不僅可以實(shí)現(xiàn)更大的安全性，也能讓目錄的實(shí)際所有者得到更多的尊重，實(shí)現(xiàn)權(quán)責(zé)一致。

可靠性

IC設(shè)計(jì)企業(yè)的核心資產(chǎn)和競(jìng)爭(zhēng)力是人才與設(shè)計(jì)數(shù)據(jù)。我們希望存儲(chǔ)的數(shù)據(jù)十分可靠。系統(tǒng)具備可以操作的災(zāi)難備份方案。

在硬盤使用壽命將至?xí)r，管理者可以將數(shù)據(jù)騰挪到其他硬盤或服務(wù)器上，而不影響正常使用。

我們希望這個(gè)系統(tǒng)永遠(yuǎn)在線，十年、二十年不掉鏈子，哪怕底層的文件服務(wù)器和網(wǎng)絡(luò)設(shè)備早已陸陸續(xù)續(xù)全部更換。

可伸縮性

我們希望這個(gè)系統(tǒng)在起步的時(shí)候不需要很大的投資，最好只要一臺(tái)文件服務(wù)器即可，甚至只要一臺(tái)虛擬機(jī)。

當(dāng)數(shù)據(jù)增多時(shí)，我們希望這個(gè)系統(tǒng)可以支持很大的集群，比如，支持幾萬(wàn)甚至幾十萬(wàn)臺(tái)客戶端（文件服務(wù)的客戶端，即運(yùn)行EDA軟件的設(shè)計(jì)服務(wù)器或個(gè)人Linux工作站）。

當(dāng)使用量減少時(shí)，我們可以將數(shù)據(jù)集中到一起，關(guān)停部分文件服務(wù)器，不影響訪問(wèn)。

易用性

我們不得不面對(duì)的一個(gè)現(xiàn)實(shí)是，不少IC工程師在啟動(dòng)了Virtuoso以后，都不用再回到命令行界面進(jìn)行操作。

很多有十幾甚至二十幾年經(jīng)驗(yàn)的IC設(shè)計(jì)工程師在Linux系統(tǒng)的操作上還是“小白”。對(duì)于母語(yǔ)不是英文的工程師，這種情況更為常見(jiàn)。

因此我們希望在絕大多數(shù)情況下，網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)和IC設(shè)計(jì)工程師已經(jīng)熟悉的Linux本地文件系統(tǒng)在體驗(yàn)上沒(méi)有區(qū)別。訪問(wèn)網(wǎng)絡(luò)文件時(shí)的感覺(jué)和訪問(wèn)Linux本地硬盤下的感覺(jué)一樣。點(diǎn)下保存按鈕就彈出保存對(duì)話框，輸入文件路徑就能保存文件，就好像數(shù)據(jù)是存在本地的。

我們希望用戶在不得已需要掌握一些命令時(shí)，命令簡(jiǎn)單易懂，具有完善的提示與在線幫助。

新手們只需要記住一到兩個(gè)主命令，就可以根據(jù)主命令 + help的方式，快速找到自己需要的所有子命令和它們的格式(對(duì)于AFS，這兩個(gè)主命令分別是fs和pts)。

可維護(hù)性

我們希望管理員不用因?yàn)闀?huì)影響用戶訪問(wèn)，而只能通過(guò)凌晨加班或者周末加班的方式維護(hù)文件系統(tǒng)。我們希望他們能和其他同事一樣按時(shí)上下班，在工作時(shí)間完成系統(tǒng)的維護(hù)、保養(yǎng)與升級(jí)，但同時(shí)不影響系統(tǒng)提供的服務(wù)。

我們希望管理員在大多數(shù)情況下只要以管理員身份登錄任何一臺(tái)客戶端（設(shè)計(jì)服務(wù)器），就能管理部署在所有分部的文件服務(wù)器，而不用逐一登錄到特定的文件服務(wù)器上進(jìn)行維護(hù)操作。

我們希望系統(tǒng)具有完善友好且穩(wěn)定的命令行支持，以便管理員根據(jù)需要開(kāi)發(fā)相應(yīng)的自動(dòng)化腳本。

高可訪問(wèn)性

我們希望在保證安全的情況下，系統(tǒng)里的文件可以被不同地域甚至不同時(shí)區(qū)的IC工程師訪問(wèn)。

我們希望他們可以使用同一個(gè)路徑下的網(wǎng)表做 VCS 或者 HSPICE 仿真，用同一個(gè)路徑下的規(guī)則文件運(yùn)行 Calibre DRC 或者寄生參數(shù)提取。

我們希望文件系統(tǒng)能夠支持多地區(qū)間的安全協(xié)作，哪怕網(wǎng)絡(luò)具有延時(shí)，通道存在擁堵，鏈路的中間存在防火長(zhǎng)城。

另外，有一些程序和文件在高峰期會(huì)被大量用戶頻繁讀取，比如 PDK 庫(kù)文件或 EDA 軟件的執(zhí)行程序。

當(dāng)大量用戶需要同時(shí)讀取一個(gè)文件時(shí)，我們希望文件服務(wù)器和帶寬資源不會(huì)遭到擠兌。也就是說(shuō)，我們希望存儲(chǔ)系統(tǒng)的魯棒性可以通過(guò)緩沖、鏡像等機(jī)制得到增強(qiáng)。

兼容性

雖然當(dāng)前主流的EDA軟件供應(yīng)商大多只會(huì)指定支持兩三個(gè)Linux發(fā)行版，由此導(dǎo)致大多數(shù)IC設(shè)計(jì)服務(wù)器會(huì)運(yùn)行 RHEL (Red Hat Enterprise Linux) 或者 CentOS 操作系統(tǒng)，但我們希望文件服務(wù)可以支持所有主流的 Linux/Unix 發(fā)行版，兼容Solaris/AIX, FreeBSD，甚至支持Windows和MacOS。

我們希望主流的EDA軟件、開(kāi)源程序和版本控制程序都能順利運(yùn)行在這樣的網(wǎng)絡(luò)文件系統(tǒng)上。

低成本

我們希望這個(gè)系統(tǒng)不依賴于特定存儲(chǔ)供應(yīng)商的特定硬件，而支持市面上能買到的最通用的服務(wù)器，甚至個(gè)人計(jì)算機(jī)或虛擬機(jī)。

我們甚至希望花幾十塊錢租用一個(gè)云服務(wù)器，就可以開(kāi)始部署這個(gè)系統(tǒng)。

當(dāng)我們資金充裕，需要擴(kuò)展時(shí)，可以添加升級(jí)的通用硬件，進(jìn)行和路徑無(wú)關(guān)的數(shù)據(jù)遷移，完成系統(tǒng)擴(kuò)容以后再淘汰舊的服務(wù)器，而不需要從頭開(kāi)始部署新的文件系統(tǒng)。

我們希望昂貴的SSD硬盤可以用于最需要的項(xiàng)目和客戶端的緩存，而廉價(jià)的HDD磁盤可以存儲(chǔ)已經(jīng)完成的舊項(xiàng)目和大量不經(jīng)常訪問(wèn)的驗(yàn)證數(shù)據(jù)。我們希望新舊轉(zhuǎn)換的過(guò)程不涉及文件路徑的改變，對(duì)用戶完全透明。

我們希望將盡量多的軟件和用戶數(shù)據(jù)都存放在這個(gè)系統(tǒng)里。

這有什么好處呢？

添置設(shè)計(jì)服務(wù)器時(shí)，因?yàn)椴恍枰鎯?chǔ)軟件和項(xiàng)目數(shù)據(jù)，也不用存儲(chǔ)用戶個(gè)人數(shù)據(jù)，那么設(shè)計(jì)服務(wù)器的選型只需要考慮CPU與內(nèi)存，其硬盤只要達(dá)到能夠裝下操作系統(tǒng)的容量即可，不需要昂貴的大容量硬盤或RAID組件。這樣可以最大限度減少對(duì)昂貴的企業(yè)級(jí)硬盤的重復(fù)投資，提高企業(yè)級(jí)硬盤的利用效率。

足夠的讀寫速度

和用作大規(guī)模機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析、數(shù)據(jù)庫(kù)服務(wù)或郵件服務(wù)的集群不同，大多數(shù)集成電路設(shè)計(jì)工程對(duì)文件讀寫速度的需要并不非常高，而對(duì)身份驗(yàn)證和安全性要求很高。即使如此，我們?nèi)匀幌Ｍ凶銐虻淖x寫速度能夠支持波形文件的存儲(chǔ)和讀取。至少，讀過(guò)一遍的大型文件，在遭到修改或刪除之前不用再重新傳輸，而可以緩沖在本地。

紀(jì)律性

作為IC設(shè)計(jì)工程師，如果你對(duì)自己足夠誠(chéng)實(shí)，應(yīng)該會(huì)承認(rèn)這樣一個(gè)事實(shí): 如果公司給了你無(wú)限的存儲(chǔ)空間供你使用，你不會(huì)考慮刪除那些冗余的中間波形文件。你會(huì)用通配符或者 .save all 的形式保存所有節(jié)點(diǎn)的波形，以便”需要時(shí)”進(jìn)行查詢。

你承認(rèn)其實(shí)絕大多數(shù)情況下，這些波形文件躺在那里只是在浪費(fèi)空間。可是時(shí)間一久，你也忘了哪些波形文件十分重要，哪些文件可以刪除。于是，干脆一起留存。

Linux的原生文件系統(tǒng)很少默認(rèn)支持配額制。在沒(méi)有配額約束的情況下，每個(gè)人都按照以上方式工作的結(jié)果，是IC設(shè)計(jì)項(xiàng)目的數(shù)據(jù)迅速膨脹，硬盤很快就被占滿。

作為IC設(shè)計(jì)的老鳥(niǎo)，請(qǐng)你回憶一下，下面這種情況是否似曾相識(shí)？

你運(yùn)行了一個(gè)周末的仿真，周一檢查結(jié)果的時(shí)候發(fā)現(xiàn)，另一個(gè)同事迅速膨脹的數(shù)據(jù)在周六早晨3點(diǎn)占滿了硬盤的最后一個(gè)字節(jié)，而你重要的波形結(jié)果沒(méi)有能夠保存下來(lái)。當(dāng)你試圖聯(lián)系這個(gè)同事的時(shí)候，發(fā)現(xiàn)他去休假了。

我們希望共享的文件系統(tǒng)具有一定的約束力。在不影響效率的前提下，能通過(guò)配額的方式督促用戶有節(jié)制地使用存儲(chǔ)資源，鼓勵(lì)每個(gè)人以有紀(jì)律的方式工作，防止因?yàn)樯贁?shù)用戶的疏忽而導(dǎo)致大部分人無(wú)法工作，最終影響團(tuán)隊(duì)的效率。

兼容流行的集群任務(wù)調(diào)度軟件

中小規(guī)模集成電路企業(yè)較少會(huì)使用LSF這樣的任務(wù)調(diào)度程序。但是如果企業(yè)很幸運(yùn)地發(fā)展壯大，需要部署LSF時(shí)，我們希望這個(gè)系統(tǒng)可以兼容LSF和大規(guī)模集群計(jì)算環(huán)境。

討論完存儲(chǔ)，我們?cè)賮?lái)看看對(duì)于集成電路設(shè)計(jì)環(huán)境，我們又需要怎樣的用戶管理系統(tǒng)。

集成電路設(shè)計(jì)環(huán)境需要怎樣的用戶系統(tǒng)？

統(tǒng)一賬戶管理

我們希望用戶賬戶能夠統(tǒng)一管理，而不是分別存儲(chǔ)在每一臺(tái)設(shè)計(jì)服務(wù)器上。否則當(dāng)組織有幾十臺(tái)設(shè)計(jì)服務(wù)器時(shí)，新人入職創(chuàng)建賬號(hào)和老人跳槽刪除賬號(hào)就會(huì)占滿系統(tǒng)管理員的工作時(shí)間。

統(tǒng)一密碼管理

作為IT系統(tǒng)管理員，最不希望接到的服務(wù)臺(tái)電話之一可能就是：

“喂，我忘記密碼了。”

作為公司新人，入職時(shí)最頭疼的手續(xù)之一就是創(chuàng)建各種賬號(hào)和密碼。

如果用戶必須為每一臺(tái)Linux設(shè)計(jì)服務(wù)器記憶一個(gè)單獨(dú)的密碼，忘記密碼的幾率就會(huì)大大提高。單是更改和重置密碼就可能占滿系統(tǒng)管理員的工作量。

賬戶移交

當(dāng)員工離職或?qū)W生畢業(yè)時(shí)，他(她)的設(shè)計(jì)庫(kù)文件可能仍然被很多人使用。我們不希望注銷賬戶時(shí)這些數(shù)據(jù)也消失不見(jiàn)。最好，離職的IC設(shè)計(jì)師可以將個(gè)人目錄托付給另一個(gè)員工或一組員工，讓他們成為目錄的新主人。這對(duì)于項(xiàng)目的延續(xù)和技術(shù)的沉淀十分重要。

強(qiáng)健的密碼校驗(yàn)協(xié)議

一個(gè)IC設(shè)計(jì)工程師一天可能要進(jìn)行幾到幾十次身份密碼認(rèn)證。當(dāng)設(shè)計(jì)師進(jìn)行身份認(rèn)證時(shí)，我們希望她輸入的密碼不用經(jīng)過(guò)網(wǎng)絡(luò)傳輸，就能和管理系統(tǒng)完成身份認(rèn)證與授權(quán)的過(guò)程。因?yàn)闊o(wú)論是明文還是密文傳輸密碼，都存在可能的安全隱患。

能夠?qū)崿F(xiàn)上述目的的是這個(gè)領(lǐng)域內(nèi)公認(rèn)的網(wǎng)絡(luò)認(rèn)證協(xié)議，Kerberos

在希臘神話里，Kerberos(Cerberus) 是看守地下世界之門的三頭犬的名字。這個(gè)協(xié)議由 MIT 領(lǐng)導(dǎo)開(kāi)發(fā)。無(wú)論是作為網(wǎng)絡(luò)安全協(xié)議的 Kerberos，還是作為看門犬的Cerberus，都在各自的世界大大有名。

也許你對(duì)Kerberos比較生疏，但是微軟的Windows Server，以及構(gòu)成其基礎(chǔ)服務(wù)的Active Directory Domain Services (即中文Windows系統(tǒng)管理員經(jīng)常掛在嘴邊的”域”)大概你聽(tīng)說(shuō)過(guò)。

Kerberos是Active Directory的基石之一。今天所有使用域來(lái)管理Windows計(jì)算機(jī)的企業(yè)，以及使用本地部署的Outlook Server管理郵件的企業(yè)，幾乎都在自覺(jué)或不自覺(jué)地依賴Kerberos的安全性完成用戶身份校驗(yàn)。

與Linux將本地用戶密碼存儲(chǔ)于/etc/passwd文件不同，Kerberos協(xié)議將用戶密鑰存儲(chǔ)在一個(gè)中心數(shù)據(jù)庫(kù)里(Key Distribution Center, KDC)。用戶登錄設(shè)計(jì)服務(wù)器時(shí)，如果服務(wù)器支持Kerberos協(xié)議，則除了比較存儲(chǔ)在/etc/passwd里的用戶密碼，服務(wù)器還會(huì)與KDC通信，確認(rèn)用戶是否是一個(gè)非本地的網(wǎng)絡(luò)賬戶。

采用Kerberos登錄用戶有什么好處呢？

• 密碼不需要存儲(chǔ)在分支節(jié)點(diǎn)，因此分支節(jié)點(diǎn)很難泄露用戶密碼。
• 密碼不需要通過(guò)網(wǎng)絡(luò)傳輸，因此也減少了監(jiān)聽(tīng)獲取密碼的可能。

在2000年以前，因?yàn)镵erberos協(xié)議使用了當(dāng)時(shí)最強(qiáng)勁的加密算法之一(DES)，該協(xié)議和軟件被美國(guó)政府作為輔助軍用設(shè)施禁止出口。解禁以后，該協(xié)議在世界范圍內(nèi)得到廣泛使用。

今天的Kerberos支持更為安全的AES加密算法，DES已經(jīng)不再被推薦為默認(rèn)加密算法。

目前所有流行的Linux和Unix發(fā)行版，包括 MacOS 都支持Kerberos協(xié)議。

Kerberos協(xié)議最大的特點(diǎn)之一是身份驗(yàn)證過(guò)程不會(huì)出現(xiàn)密碼的傳輸。因此即使客戶端和KDC之間不存在加密的VPN網(wǎng)絡(luò)鏈接，也不用擔(dān)心密碼在整個(gè)過(guò)程中泄露。

我們部署的系統(tǒng)對(duì)身份認(rèn)證由很高的要求，所以希望以Kerberos為主要協(xié)議。

至此我們討論了一個(gè)典型的IC設(shè)計(jì)環(huán)境對(duì)存儲(chǔ)和用戶系統(tǒng)的需求。在下一篇文章里，我們聊一聊AFS文件系統(tǒng)的特點(diǎn)。

總結(jié)

以上是生活随笔為你收集整理的使用AFS, Active Directory和SSSD搭建用于集成电路设计的分布式存储系统 【一】的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。