slurm安全设定规避用户盗用资源

abin · 发表于 Post on 2021-12-29 15:57:00

本帖最后由 abin 于 2021-12-29 18:35 编辑

演示视频,
https://www.bilibili.com/video/BV15R4y137n8

适用于centOS 7.x, centOS 8.x, 8 Stream, Rocky Linux.

可以实现,
用户tom的计算任务在A节点运行, tom可以去A节点;
如无任何active jobs running, 用户tom无法访问任何计算节点.
可以有效防止计算资源被盗用.

以上方案仅供参考.

abin · 发表于 Post on 2021-12-30 16:32:01

本帖最后由 abin 于 2021-12-30 16:33 编辑

补充一下.

为什么我的演示视频都是强调从centOS 7, centOS 8最小安装开始处理呢?

玩过或者用过Linux的朋友都晓得,
安装组件, 最烦的事情就是“缺少依赖”.
手动安装A, 提示少B; 手动安装B, 又说缺少C......
这是十分常见的情形.

好在Linux系统有强大的yum/dnf/apt管理器.
只要看手册, 按照提示操作, 几乎都能搞定.
但是千万不要轻易使用 --force 这种操作.

最小安装, 也就意味着缺少很多的包, 意味着, 随便安装一个东西, 都有可能碰到提示缺少必要的依赖.

如果一套解决方案, 在最小安装的系统上, 都能搞定的话,
那么面对任何其他安装模式, 肯定是可以搞定的.

yum/apt/dnf的聪明之处在于,
如果某个包已经安装了,
就会自动跳过, 不再重新安装.

因此, 如果网络正常,
我提供的方案, 实际操作下来, 整体耗时肯定比视频中耗时少很多的.

胡说 · 发表于 Post on 2022-1-1 14:15:19

请教一个问题，如果有任务在run, 用户通过SSH到该计算节点后，是否就可以无限制的使用该节点的资源，比如在该节点运行一个多核的计算？

abin · 发表于 Post on 2022-1-1 15:30:05

本帖最后由 abin 于 2022-1-1 20:30 编辑

胡说发表于 2022-1-1 14:15
请教一个问题，如果有任务在run, 用户通过SSH到该计算节点后，是否就可以无限制的使用该节点的资源，比如在 ...

你自己试试看呗……
slurm 可以自动锁定用户资源。
用户在36核心的机器上，要了4核心，
用户只能在这四个核心晃悠，
而且进程还是被锁死在这四个核心上的。

这就是开源的slurm调度器非常好用的一个地方。

openPBS等也支持……

这些调度器，并不仅仅是排队。
而是把所有的资源，放在一个池子中，
用户只能访问调度器分派的资源，
其他的，你就别想了。

如果这些都做不到，还算哪门子的调度器？

牧生 · 发表于 Post on 2022-1-1 17:22:02

abin 发表于 2021-12-30 16:32
补充一下.

为什么我的演示视频都是强调从centOS 7, centOS 8最小安装开始处理呢?

我都是装GUI版本，并勾选所有可以勾选的。。
我觉得只要不是很旧的机子，多装那么点程序，不会拖慢机子。

abin · 发表于 Post on 2022-1-1 17:27:27

牧生发表于 2022-1-1 17:22
我都是装GUI版本，并勾选所有可以勾选的。。
我觉得只要不是很旧的机子，多装那么点程序，不会拖慢机子 ...

装多了，会拖慢机器，这前后没有任何逻辑关系。

安装的时候，选的模块越多，等候时间越长。

谁想在机房多待一分钟？

只要安装完毕后，有ssh server 就可以了。

没有哪一个Linux发行版，安装完毕后，没有网络的。

完全网络隔离的地方，
当然需要DVD镜像了。

monk1077 · 发表于 Post on 2022-1-2 08:49:01

胡说发表于 2022-1-1 14:15
请教一个问题，如果有任务在run, 用户通过SSH到该计算节点后，是否就可以无限制的使用该节点的资源，比如在 ...

可以搞成无论有没有任务都禁止用户直接登陆计算节点

abin · 发表于 Post on 2022-1-2 08:56:06

本帖最后由 abin 于 2022-1-2 13:52 编辑

monk1077 发表于 2022-1-2 08:49
可以搞成无论有没有任务都禁止用户直接登陆计算节点

这个是最简单的。

不过你可以在你管理的机器上试试，
应该会有很多用户找你麻烦的。

因为你要合理的处理，用户查询计算进度的事情。

abin · 发表于 Post on 2022-1-3 00:34:22

补充更新了一个演示视频,
https://www.bilibili.com/video/BV1j3411e7xz/
可以自行围观.

大概意思就是:
1. Prevent users from sshing into nodes that they do not have a running job on
2. Track the ssh connection and any other spawned processes for accounting
3. Ensure complete job cleanup when the job is completed

具体原理看SLURM官方手册.

简单粗暴的理解就是:
如果资源池还有空闲资源; 你要我就给(当然不能超过你自己的额度, 也不能超过剩余资源上限),
你只能玩SLURM给你的资源, 别的资源, 就不用做梦了.

另外,
slurm可以很好的处理“资源绑定”.
比如52核心机器, 你要了8核心,
slurm会把你的资源固定在编号为0~7的CPU核心上(也可以能是其他的编号, 总之会给你8个核心).
你的8个MPI进程, 会和这8个CPU核心一一对应.

同时, 分派给你的8个核心, 也是固定过的, 不会来回切换.

总之, 用SLURM来做资源分派,
你就快乐的做计算的,
不要考虑什么CPU进程绑定呀, GPU绑定之类的破事了.

另, 既然CPU都能按核心来分配, 各种加速卡, 当然不在话下了....
这方面, 看SLURM手册, GRES部分.

		自动登录 Automatic login	找回密码 Forget password
密码 Password			注册 Register

[集群维护] slurm安全设定规避用户盗用资源

评分 Rate

[集群维护] slurm安全设定 规避用户盗用资源

评分 Rate

[集群维护] slurm安全设定规避用户盗用资源