Adatfeldolgozás az LHC-nál

Adatfeldolgozás az LHC-nál A Gridről dióhéjban Debreczeni Gergely (CERN IT/GD)

A kezdetek …

Wim Klein (http://stepanov.lk.net/mnemo/smith34e.html) Képes volt egy 133 számjegyből álló szám 19-dik gyökét fejben meghatározni. Egyszerű matematikai műveletekben jóval gyorsabb volt kora számítógépeinél.

Hungarian Teacher Program, CERN, 2006 augusztus 25.

Debreczeni Gergely, CERN IT/Grid Deployment Group

2

Az első számítógépek

1958-’61: Az első valódi nagyszámítógép a CERN-ben, a MERCURY. Két 40 bites szám összeadása 180 , szorzása 300 us-ig tartott. Lyukszallag programozás. 1966 – ban elajándékozták a lengyel ‘ásványtani és bányászati’ minisztériumnak.



3

Az első számítógépek IMB709

1961-’63: Az IBM709-es 4x gyorsabb a MERCURY-nál. Mágnes szallagos egysége 200 bpi sűrűséggel ír/olvas. Támogatja a FORTRAN programozási nyelvet ! Hungarian Teacher Program, CERN, 2006 augusztus 25.


4

… aztán jött az Internet, Mi az az ‘Internet’ ? Az Internet összekapcsolt számítógépek millióinak rendszere. Neve az ‘Interconnected networks’ kifejezésre utal. A kapcsolat lényege nem a kábel vagy rádiókapcsolat, hanem a közös nyelv (protokoll).

A TCP/IP

… a protokoll A protokoll az egymással való kapcsolattartás és információcsere szabályainak összessége. Az Interneten való kommunikációhoz a Transmission Control Protokol/Internet Protokoll –t (TCP/IP) használjuk.

A TCP/IP óriási előnye, hogy rengeteg, teljesen különböző hálózaton használható. Ez a tulajdonsága kulcsfontosságú volt az Internet gyors terjedésében. Hungarian Teacher Program, CERN, 2006 augusztus 25.


5

… és a Web. A World Wide Web (WWW), ‘csak’ egy, az Internetet használó szolgáltatás. (Web ≠ Internet !!!). Segítségével információt oszthatunk meg, tehetünk nyilvánossá. A felhasználó a dokumentumokat feltölti egy webszerverre, melynek egyedi címe (web address, vagy Uniform Resource Locator, URL) segítségével utalhatunk dokumentumunkra.

Kezdetben, az információmegosztás statikus és egyirányú volt. Manapság a többirányú információmegosztást is támogató, interaktív weboldalak, porálok, blogok uralják az Internetet.

URL példa: http://en.wikipedia.org/wiki/URL Hungarian Teacher Program, CERN, 2006 augusztus 25.


6

Miért is a CERN-ben találták ki/fel a WEB-et ? • A tudományos kutatásban rendkívül fontos az információ és az ötletek szabad áramlása, elérhetősége, főleg annyira komplex tudományterületen mint a részecskefizika. A CERN 80 országban dolgozó 6500 kutató nagy közös barkácsműhelye. • A CERN hagyományosan a tudományos számítástechnika és hálózati infrastruktúra éllovasa már egészen a kezdetektől. • Az CERN előző nagy munkájának tervezésekor kritikus fontosságúvá vált az információ gyors, könnyű és globális megosztásának megvalósítása.



7

Hogyan kezdődött ? • 1989-ben Tim Berners-Lee nyilvánosságra hozta javaslatát: ‘Information management: a proposal’, hogy a jövőben felépülő Large Hadron Collider (LHC) információs rendszerére javaslatot tegyen. • 1991-ben az első www rendszerek meglátták a napvilágot a CERN programozói keretrendszerébe beágyazva. • 1993-ban megjelent az első és sokáig népszerű Mosaic böngésző (browser). Ekkora már 500 webszerver van a világon és a webes forgalom a teljes internet forgalom 1%-t is eléri ! ☺

Sir Timothy "Tim" John Berners-Lee Hungarian Teacher Program, CERN, 2006 augusztus 25.


8

És mi a helyzet ma ? • 2005 decemberében a becslések szerint 1 milliárd ember használta a Webet. • A tudományos, műszaki, diplomáciai és hétköznapi élet szinte elképzelhetetlen a Web nélkül.



9

És mi a Grid ? hanem, A Grid, egy, az Internetre épülő szolgáltatás, csakúgy mint a Web. De a Grid-hez kapcsolt számítógépek és eszközök nem csak információt osztanak meg egymás között,


tárterületet, (memória, merevlemez, mágnesszalag, CD/DVD, stb…), számítási kapacitást, adatbázis információt, alkalmazásokat sőt hálózati forgalmat is !


10

Egy kis Grid történet • A ‘Grid’ név az elektromos hálózatok analógiájára lett kitalálva az ilyen rendszerekre. (1997, Foster és Kesselman) • A hasonlat: ahogy a kenyérpirítót csatlakoztatjuk az elektromos hálózathoz hasonlóképpen csatlakoztatjuk számítógépeinket/erőforrásainkat a Gridhez. • Az elgondolás, a koncepció már évtizedek óta létezik. (elosztott rendszerek, metacomputing, stb..) • A lényeges különbség, hogy mindez globális méretekben valósult meg !!!



11

Hogyan működik a Grid ? • A Gridet egy ‘speciális’ szoftver az ún. middleware tartja életben. • A middleware ‘automatikusan megtalálja’ azt az adatcsomagot amit a felhasználó elemezni akar és megkeresi ennek az adatcsomagnak a feldolgozásához legjobban megfelelő erőforrást is ! • Továbbá a middleware feladata a számítási terhelések egyenlő elosztása, a hálózati biztonság megteremtése, az erőforrások felügyelete/monitorozása, valamint a számlázás, könyvelés és még sok minden más…



12

Különböző Gridek más-más feladatokra Ellentétben ‘A Webbel’ jelenleg (még) nincs olyan, hogy A Grid, szemben. Számos Grid létezik a világban, különböző feladatoknak szentelve. • Vállalati/Céges Gridek – (Enterprise Grids): egy cégen belüli számítógépek ‘Gridje’ • Önkéntes Gridek – A ‘közösbe’ beajánlott magánszámítógépek hálózata • Tudományos Gridek - Nagyobb kutatóintézeteket, számítógépközpontok rendszere • Nemzeti Gridek – Egy ország erőforrásainak összekapcsolt hálózata A nagyenergiás fizika nagyban előmozdítja a különböző Gridek összekapcsolását, egy globális méretű Griddé. Hungarian Teacher Program, CERN, 2006 augusztus 25.


13

Miért van szükségük a kutatóknak a Grid-re ? Napjaink tudományos kutatásához szükséges számításokat nem lehet hagyományos módon elvégezni.

A biológusok az emberi géntérkép megfejtéséhez hatalmas számítási kapacitást használnak.



14

Miért van szükségük a kutatóknak a Grid-re ? A földtudományokkal foglalkozó kutatók például az ózonréteget vizsgáló műholdak adatait dolgozzák fel. Ez naponta 150 CD-nek megfelelő adatmennyiséget jelent.

Ezeket a feladatokat sokszor már nem lehet elvégezni speciális és/vagy szuperszámítógépekkel

A nagyenergiás fizika rabjai hamarosan évente mintegy 10 PetaByte (kb. 20 millió CD) adatot fognak (szeretnének ☺) ‘termelni’ és feldolgozni.



15

Miért van szükségük a kutatóknak a Grid-re ? • Az adatok , eredmények, programok, tárhely világméretű megosztása • Az elosztott rendszerek stabilitása nagyobb , nincs un. SPF (Single Point of Failure) • Könnyebben alakítható, átépíthető a technika fejlődésével • Időszakos erőforrások használata is lehetővé válik • stb...



16

Mi történik a CERN-ben ? • A CERN a világ legnagyobb részecskefizikai laboratóriuma. • A CERN egy Európai intézet (és egyben infrastruktúra) mely egy világméretű technikai és emberi közösséget hivatott kiszolgálni. • A CERN részecskegyorsítóinak segítségével olyan alapvető kérdésekre válaszolunk, mint: o hogyan született a Világegyetem ? Mont Blanc, 4810 m o miért van a dolgoknak tömege ? o hogyan viselkedik az antianyag ?

Genf belvárosa CERN Az LHC alagút



17

Az ATLAS detektor



18

Az ATLAS kollaboráció

Az ATLAS kollaboráció

1800 fizikus (400 diák) , 150 egyetem/kutató intézet, 34 ország



19

Az LHC adat analízise • A detektorban egy ütközés = egy esemény • A mérés célja, hogy az ütközésben keletkezett részecskék tulajdonságait (energiáját, tömegét, töltését, impulzusát) megmérjük és az eseményt rekonstruáljuk. • Speciális nyomvonal kombinációk alapján azonosíthatók a különböző események. Például a Higgs-bozon keletkezése: • Egy bizonyos bomlása szerint 4 müon nyomvonalat láthatunk a detektorban • Több mint 8 millió esemény naponta ami nem ilyen és csupán 1 db ami ilyen.



20

… mega, giga, tera, peta, exa, …. 1 Megabyte (1MB) Egy digitális fénykép

• Másodpercenként 40 millió ütközés a detektorokban. • Az ‘érdekes’ események kiválogatása után másodpercenként néhány 100 esemény lesz elmentve. • 3-4 MegaByte eseményenként nagyobb mint 1GB/sec tárolási sebességet igényel. • több mint 10 milliárd ütközés évente kb 10 PetaByte adatmennyiséget jelent • Kb 10x ennyi Monte Carlo szimuláció szükséges !!!

1 Gigabyte (1GB) = 1000MB 5GB = Egy DVD film 1 Terabyte (1TB) = 1000GB A világ egy éves könyvtermése 1 Petabyte (1PB) = 1000TB Az LHC kísérletek éves adattermelése 1 Exabyte (1EB) = 1000 PB 3EB = A világ éves információtermelése

De: ‘5 kiló’ = 500 forint Hungarian Teacher Program, CERN, 2006 augusztus 25.


21

Az LHC adatözöne • Az LHC kisérletek 10-15 millió Gigabyte adatot termelnek évente. (Kb 20 millió CD.) • Ennek feldolgozása napjaing leggyorsabb asztali processzoraiból kb 100.000 darabot igényel • Ezt nem lehet egy helyre bezsúfolni így számos együttműködő , összekapcsolt számítóközpontra van szükség



22

A CERN számítógép központja • Élvonalbeli számítógépekkel felszerelt gépterem, alapvetően ‘hétköznapi’ (értsd: kipróbált, megbízható) megoldásokkal. • Több mint 3000 kétprocesszoros számítógép • Kb 10 PetaByte adat merevlemezeken és szallagon • Probléma: sehol sincs elég hely • Megoldás: Az LHC Computing Grid (LCG) (több mint 180 központ világszerte)



23

A CERN számítógép központja



24

LCG: Az LHC Computing Grid

• AZ LCG project 2003-ban indult 12 számítógközpont részbvételével. (Magyarország (KFKI) a 6.-ként csatlakozott !) • Az LCG alapvetően három Grid (NorduGrid, EGEE, OSG) szolgáltatásait köti össze • LCG támogatja a Virtuális Szervezetek (Virtual Organisation) koncepcióját • Ma több mint 240 központ , 40 ország és több mint 45.000 processzor alkotja a rendszert.



25

Az LCG ‘munka közben’

Az első igazán világméretű, 24/24 üzemű szolgáltatást biztosító, működő Grid. Hungarian Teacher Program, CERN, 2006 augusztus 25.


26

EGEE: Enabling Grids for E-sciences

country

EGEE: Egy multitudományos Grid infrastruktúra 91 résztvevő intézmény > 240 központ, 40 ország > 45,000 processzor ~ 40 PB tárhely


sites

country

Austria

2

India

Belgium Bulgaria

3 4

Ireland Israel

Canada

7

Italy

China

3

Croatia Cyprus

sites

sites

Russia

12

15 3

Serbia Singapore

1 1

25

Slovakia

4

Japan

1

Slovenia

1

1 1

Korea Netherlands

1 3

Spain Sweden

13 4

Czech Republic

2

Macedonia

1

Switzerland

1

Denmark

1

Pakistan

2

Taipei

4

France Germany

8 10

Poland Portugal

5 1

Turkey UK

1 22


2

country

27

Az EGEE más lehetséges alkalmazásai • Kormányzati feladatok: Elősegítheti a különböző kormányzati szervek (pl katasztrofaelhárítás) adatmegosztásait/feldolgozásait, előrejelzéseit (vihar, földrengés, áradás) • Oktatás: Diákok számára lehetővé teszi nagy számitógép rendszerek használatát, megismerését. Csökkenti az ‘digitális szakadék’-ot (digital gap). ?????? (Informaticiens sans frontiers) • Üzleti élet: Kis cégek számára is elérhető a Grid, (pl gyógyszertervezés, anyagszimuláció, stb.)



28

Példa: Madárinfluenza

• Az EGEE-t használták, hogy a madárinfluenza elleni 300.000 lehetséges hatóanyag közül meghatározzák a legnagyobb eséllyel alkalmazhatókat. • 2000 számítógép 60 intézetben (Oroszország, Európa, Taiwan, Izrael, stb…) számolt 4 héten át. Ez egy számítógépnek 100 évébe telt volna. • Lehetséges ellenszereket sikerült azonosítani ! A neuraminidase, a két leggyakoribb felületi protein egyikke elősegíti a fertőzött sejtekben található virionok eltávolitását. Kép: Ying-Ta Wu, AcademiaSinica.



29

A CERN OpenLab project-je • Az iparbi partnerek a legfejlettebb technikai eszközökkel és szakembergárdával látják el a CERN-t • A CERN pedig ezen eszközök roppant alapos és kiterjedt tesztelését tudja megvalósítani számos különböző környezetben



30

Egy hétköznapi Grid: Google A Weben található szavakhoz hozzárendeli az oldalakat. A Weben kb 10 milliárd weboldal található. Ezek indexelését több ezer Google szerver végzi.

Mikor egy keresést végzünk, egszerre kb 1000 számítógép dolgozza fel kérésünk és küldi vissza válaszát mindössze 0.25 mp alatt !

A Google Grid egy vállalati Grid (Enterprise Grid)



31

LHC@HOME – önkéntesek Gridje • Az LHC@HOME egy önkéntes Grid project. A SETI által is használt BOINC programkörnyezetet használja. • A gyorsítóban keringő protonok pályályának stabilitásvizsgálatát végzi a program. • Rengeteg PC (desktop) és laptop vesz részt a projectben a világ számos pontjáról.

• Több mint 30000 önkéntes 15.000 év CPU idő ! • Megjegyzés: A SETI@HOME programot kb. 5 millió számítógépen futtaták. • A project célja extra számítási kapacitások megszerzése valamint a CERN és az itt folyó kutatások megismertetése/népszerűsítése. • 2004-ben indult, a CERN 50 éves fennállásának évében. Hungarian Teacher Program, CERN, 2006 augusztus 25.


32

LHC@HOME: Egy példa a fórumról



33

Az LHC@HOME közösség • Csapatok és egyének ‘versenyezhetnek’ egymással, pontokat gyüjtenek • A project helyzete, eredmények, hírek és érdekességek jelennek meg a weboldalon a szervezők felügyelete alatt. • Felhasználói fórumok a kapcsolódó tudományos kérdések megvitatására. • A résztvevők nagy érdeklődést mutatnak a CERN és az LHC iránt. • Egymással is megosztják ezirányú tudományos ismereteiket Az LHC@HOME képernyővédő



34

További @HOME projectek

l l l l l l l l l l l

SETI@home FightAids@home Einstein@home Rosetta@home Climateprediction.net Compute against Cancer Evolution@home QMC@home GIMPS ChessBrain …és még sok más !


Földönkívüli rádiójelek analizálása AIDS gyógyszer szimulációk Gravitációs hullámok keresése Gyógyszerészeti modellezés Éghajlat (változás) modellezése Chemoterápiás szimulációk Genetikus betegségek szimulációja Molekulák kvantummechanikai szimulációja Prímszámkereső programok Elosztott sakk-szupercomputer


35

Afrika@HOME • Egy 3 hónapos diák project Honlap: http://africa-at-home.cern.ch eredménye • több mint 500 számítógép csatlakozott két nap alatt • több mint 100 CPU év 1 hónap alatt • a Tunis-i WSIS konferencián lépett nyilvánosság elé • a központi szerver Dakar-ban lesz



36

Grid projectek Magyarországon - a HunGrid

Résztvevő intézetek: KFKI-RMKI, ELTE, SZTAKI, KKKI, VEIN Hungarian Teacher Program, CERN, 2006 augusztus 25.


37

Grid projectek Magyarországon - a HunGrid „A EGEE virtuális szervezete a HunGrid Virtuális Szervezet (VSZ). A VSZ megalapításának célja egy olyan magyarországi tudományos Grid megteremtése, kialakítása amelyet a tudományos élet legkülönbözõbb szakterületein munkálkodó kutatók, oktatók és diákok minél szélesebb rétegei használhatnak. A HunGrid az elsõ 24 orás Grid szolgáltatás Magyarországon. Szekveniális és paralel programok futtatása mellett a fájlok/programok tárolása, regisztrációja, webes felhasználói felület és részletes információs rendszer is megtalálható a szolgáltatások között.”

• Résztvevő intézetek: KFKI-RMKI, ELTE, SZTAKI, KKKI, VEIN • Kb. 50 felhasználó Jelenleg lényegében bárki számára elérhető, • 250 processzor kiváló oktatási, kutatási lehetőség ! • 10 TeraByte tárhely

Honlap: http://www.grid.kfki.hu/hungrid Hungarian Teacher Program, CERN, 2006 augusztus 25.


38

Grid projectek Magyarországon - a ClusterGrid • Az NIIF által vezetett Grid project. • Az akadémiai közösség számára elérhető (diákoknak is!) • Homogén architektúra • Kb. 1000 számítógép !!! • de csak napi 8 órára… • Nem folyamatos, hanem váltott (éjjeli) üzemmód. Az iskoláknak és egyetemeknek adományozott számítógépeket nappal oktatásra használják (Windows), éjjelre viszont a ClusterGrid-hez kapcsolják és Linux alapú Grid szoftver végzi a programok/adatok fogadását, futtatását.


Honlap: http://www.clustergrid.hu/


39

Az LCG Grid elemei Virtuális Szervezetek Egy Virtuális Szervezet (VSZ) valamilyen módon együvé tartozó emberek és erőforrások csoportja. A Gridet a különböző Virtuális Szervezetekhez tartozó felhasználók más és más jogosultságokkal vehetik igénybe. Az LCG virtuális szervezetei: ALICE, ATLAS, CMS, LHCb, dteam, BioMed, HunGrid, ESR, EGEODE, stb…

Tanúsítványok (Certificate-ek) Minden felhasználónak rendelkeznie kell egy digitális tanúsítvánnyal. Ezt a digitális tanúsítványt a Tanúsítvány Hatóságok (Certificate Authority, CA) állítják ki. Ez olyan mint egy digitális személyi vagy diákigazolvány. Ennek segítségével azonosíthatja magát a Grid használatakor. Egy virtuális szervezetbe való belépéskor a VSZ ‘matricáját ragasztják’ a tanúsítványára.

A Tanúsítvány Hatóságok Másnéven digitális okmányiroda. Országonként egy működik. Hungarian Teacher Program, CERN, 2006 augusztus 25.


40

Az LCG Grid elemei Felhasználó

Erőforrás és infó bróker

Számoló egység, Working Node

Információs központ Tároló egység, Storage Munkafelügyelő, Computing Element

Tároló egység, Storage Hungarian Teacher Program, CERN, 2006 augusztus 25.


41

Összefoglalás • A tudományos Gridek már szolgáltatás szerűen működnek ! • a Grid ma ott tart ahol a Web 10 évvel ezelőtt • A Grid, a Web-bel ellentétben (még) nem mindenki számára elérhető • de az @HOME projectek révén szinte bárki kapcsolódhat • A Grid többek között a tudomány globalizálását gyorsítja fel • ez többek között a ‘digitális szakadék’ csökkentését is elősegíti • A Grid Magyarországon szinte bárki számára elérhető • Sokféle hangzatos dolgot használnak mikor a Gridről beszélnek • Nano, Grid, e-Science, leading-edge, modular, service-based, distributed, reliable, high-throughput, resource, global,



42

Összefoglalás, további olvasásra • Az EGEE project : • LCG honlap: • SETI@HOME: • LHC@HOME: • HunGrid honlap: • HunGrid portal: • ClusterGrid: • GridCafe: • HunGrid admin:

http://www.eu-egee.org/ http://lcg.web.cern.ch/lcg/ http://setiathome.berkeley.edu/ http://lhcathome.cern.ch/ http://www.grid.kfki.hu/hungrid https://n41.hpcc.sztaki.hu:8443/gridsphere/gridsphere http://www.clustergrid.hu/ http://www.gridcafe.org [email protected] • NorduGrid project: http://www.nordugrid.org/ • OSG: http://www.opensciencegrid.org/ • ATLAS honlap: http://atlas.web.cern.ch/Atlas/index.html

[email protected]



43

II resz – Az LHC Grid elemei

Az RSA algoritmus Eredete 1977-ben találta ki Ron Rivest, Adi Shamir és Leonard Adleman, valamint Tőlük függetlenül Clifford Cocks brit matematikus 1973-ban. Amerikában szabadalom védte ami 2000 szeptember 21-én lejárt. Az algoritmus 1.) Legyen p és q két nagy primszám 2.) Számoljuk ki n=p*q -t 3.) Számoljuk ki f(n)=(p-1)(q-1) 4.) Legyen e egész olyan, hogy - 1 < e

45

Az RSA algoritmus Egy uzenet titkositasa: 1.) Alice elkuldi nyilvanos kulcsat (n,e) Bobnak 2.) Bob atkonvertalja uzenetet egy szamma m, ugy hogy m < n 3.) Majd kiszamolja a c=m^e mod n szamot 4.) Elkuldi Alice-nak c-t

Adi Shamir

Egy uzenet megfejtese: 1.) Alice megfejthet az eredeti uzenetet ha kiszamolja m=c^d mod n mennyiseget.



46

Az RSA algoritmus Egy pelda: 1.) Legyen p=61 es q=53 2.) Legyen n=p*q = 3233 3.) Ekkor f(n)=(p-1)*(q-1)= 3120 4.) Legyen e >1 realtiv prim 3120-szal , pl e=17 5.) Ekkor d*e = 1 mod(f(n)) = 2753 (17*2753=46801 = 1+ 15*3120)

Leonard Adleman

A publikus kulcs tehat (n=3233,e=17) A titkosito fuggveny : m^17 mod 3233 A titkos kulcs: (n=3233, d=2753) Az ertelmezo fuggveny: n=c^2753 mod 3233 Titkositva a 123-at : C=123^17 mod 3233 = 855 M=855^2753 mod 3233 = 123 Hungarian Teacher Program, CERN, 2006 augusztus 25.


47

Az RSA algoritmus Mennyire biztonsagos ? Az RSA biztonsaga ket matematikai problema megoldasanak nehezsegetol fugg: 1.) Nagy szamok faktorizalasa 2.) Illetve az un RSA problema: egy olyan m talalasa, hogy c=m^e mod n Jelenleg az RSA-663-et mar megfejtettek, tehat az 1024 bit hosszusagu kulcsok mar nem igazan tekinthetok biztonsagosnak. Ha n< 256 bit nehany ora alatt megfejtheto ! Hasznaljunk mindig 2048 vagy 4096 bit hosszusagu kulcsokat ! http://en.wikipedia.org/wiki/RSA_Factoring_Challenge



48

Digitalis alairas Ha Bob kuld egy uzenetet Alice-nak, honnan tudja Alice, hogy az tenyleg Bob-tol jott ? Bob kiszamolja uzeneten egy un 'hash' fuggveny erteket es azt sajat titkos kulcsaval titkositva az uzenethez csatolja, vagyis digitalisan alairja. Mikor Alice megkapja az uzenetet, o is kiszamolja a hash fuggveny erteket es osszehasonlitja Bob alairasaval amit Bob publikus kulcsaval ertelmezett. Ha a ket ertek ugyanaz Alice tudja, hogy az uzenet nem modosult azota, hogy Bob alairta. A hash fuggveny erossege es tulajdonsagai nagyon fontossak az alairas megbizhatosaga szempontjabol. Kozismertebb hash fuggvenyek az MD5, SHA1, SHA2, SHA256



49

A hash fuggvenyek MD5 – Message Digest algorithm (1992, Ron Rivest) Tetszoleges hosszusagu uzenetet alakit at 128bit hosszusagu kimenette: MD5(« The quick brown fox jumps over the lazy dog « ) = 9e107d9d372bb6826bd81d3542a419d6 A hash fuggvenyek kozos jellemzoje, hogy a bemenet legkisebb valtozasaira is nagy mertekben valtozik a kimenet, a hash ertek eloallitasa soran informacioveszteseg lep fel, nem-linearis fuggvenyek, bitrotaciok, kulonbozo kombinacioival operalnak. MD5 nem tekintheto biztonsagosnak: Sikerult talalni ket kulonbozo uzenetet amelyek hash erteke ugyanaz ! (Letoltheto program 10 masodperc alatt kidob egy eredmenyt.) Ugyanakkor elore megadott hash ertekhez meg nem sikerult uzenetet generalni. Hungarian Teacher Program, CERN, 2006 augusztus 25.


50

Digitalis tanusitvanyok Egy digitalis tanusitvany (digital certificate) egy publikus es egy nyilvanos reszbol all. A publikus resz tartalmaz: - informaciot a kiallito szervrol - informaciot a tulajdonosrol - ervenyessegi idotartalmat - hasznalati jogkort - egyeb attributumokat - egy RSA publikus kulcsot - valamint a kiallito szerv, (CA) digitalis alairasat. A titkos resz tartalmazza az RSA titkos kulcsot. Tobb fajta szabvany van, a legelterjedtebb az un. X509 digitalis tanusitvany.



51

Digitalis tanusitvanyok Pelda: -bash-3.00$ openssl x509 -text -in usercert.pem Certificate: Data: Version: 3 (0x2) Serial Number: 12:83:d0:56:00:02:00:00:14:77 Signature Algorithm: sha1WithRSAEncryption Issuer: DC=ch, DC=cern, CN=CERN Trusted Certification Authority Validity Not Before: Nov 17 20:10:54 2007 GMT Not After : Nov 16 20:10:54 2008 GMT Subject: DC=ch, DC=cern, OU=Organic Units, OU=Users, CN=gdebrecz, CN=546241, CN=Gergely Debreczeni Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:c7:44:b9:6d:c6:ae:de:53:a4:9e:73:ca:ef:c3: 8f:f6:6f:62:64:36:2d:9e:c4:42:0c:22:7f:ed:7f: 1e:d5:35:7c:6b:d6:7e:b0:3e:5a:fb:27:08:14:9a: d7:3b:e5:0b:e1:97:93:ea:da:18:c5:09:1d:50:57: fd:21:e1:be:89:c3:95:c2:98:25:45:de:5b:7e:48: b5:bf:ff:91:cf:aa:a9:61:63:0e:4d:4f:80:0a:a7: 46:f8:db:0e:cc:97:7d:fc:5a:cb:87:7d:26:00:3a: 35:d8:6d:80:65:b9:eb:fa:78:46:01:1e:32:4c:b9: 2f:37:2a:fd:08:26:d6:c5:97:44:c1:99:b9:82:52: 3b:89:9c:17:6c:08:73:3d:ed:f8:e2:9d:66:59:5d: d5:a7:60:c6:f5:89:40:d6:dd:1a:b9:6a:2f:81:26: d5:91:cc:d0:f8:57:7c:c0:a4:4e:01:73:50:9e:1a: 4a:b6:dd:ca:5e:88:c7:8f:76:6b:10:48:da:ed:5d: 70:12:55:7a:cf:a6:63:06:75:11:9e:9d:11:fc:ce: e0:e8:55:47:d5:80:c8:0f:1d:43:ff:b9:2c:46:db: 89:41:27:a6:9b:21:0e:06:62:30:46:a0:d3:d7:a4: a3:9d:91:0d:b9:76:2b:64:9d:4f:3d:10:be:d6:ac: 95:65 Exponent: 65537 (0x10001) X509v3 extensions:



52

Digitalis tanusitvanyok Signature Algorithm: sha1WithRSAEncryption 3c:33:f8:66:60:50:6d:2c:1b:55:7f:f7:98:7c:21:4f:4e:15: ef:1f:0d:6c:0c:2b:0e:bd:f7:91:7d:9f:ea:fe:f8:0a:1b:58: 05:83:c1:24:98:73:cb:d2:93:67:24:c1:6b:f8:c1:b4:3b:d2: de:d7:0e:55:47:b6:87:b8:72:49:ee:b0:35:81:ba:9a:8a:8b: 1a:51:08:43:f2:f1:02:ef:34:82:ba:5a:55:48:b1:0d:bd:ce: 67:7e:ad:ea:f0:ee:cf:30:fe:17:84:64:34:a2:58:9b:43:f2: 47:a2:9f:dd:3d:8b:01:22:d5:f7:d1:13:ad:73:eb:e9:13:1e: e4:11:6c:fc:d8:55:f0:fb:23:3c:8f:c5:ac:87:65:fa:cb:99: cb:1c:97:ab:2f:02:f6:3d:8c:b1:15:47:67:bb:73:24:5a:80: ac:c5:3b:00:9b:23:8f:7a:a3:5b:f9:cc:a0:ca:2b:98:92:a2: 61:97:1a:a4:5f:96:5c:51:13:4f:22:31:1e:c0:06:59:74:c6: 2f:87:67:62:d9:2d:14:09:5c:49:f1:05:d8:1e:7b:3f:1c:f4: e8:29:32:f9:5e:42:93:b2:e6:76:27:d9:db:95:2c:68:a4:34: 31:b3:f4:4b:3d:c6:ec:2f:c0:31:b1:43:a3:38:72:a0:90:90: 5e:59:36:ea

A digitalis tanusitvanyokat hasznaljuk a Griden authentikaciora es authorizaciora. Az X509v3 egy nemzetkozi standard az LCG ennek egy kibovitett formajat a VOMS tanusitvanyokat hasznalja.



53

'Colliding certificates' - Arjen Lenstra (es csoportja) volt az akinek sikerult az RSA-100/110/129/130 kulcsokat faktorizalni. (100 $:-)) (1991) - Modszert mutatott be az MD5 hash fuggvenyek 'feltoresere'. - Ha sikerul az ugynevezett 'targeted MD5 crack' akkor az osszes certificate amely MD5 hash-sel van alairva tamadhato lesz. Mar most el kell kezdeni a visszavonasukat es ujakat kibocsatani.

Arjen Lenstra

http://www.win.tue.nl/hashclash/TargetCollidingCertificates/



54

A tanusitvany kiallito hatosagok A tanusitvany kiallito hatosagok (Certificate Authority-k) allitjak ki es irjak ala a felhasznalok tanusitvanyait. Az CA-k publikus kulcsa sajat magukkal van alairva, ezek az ugynevezett self-signed vagy root certificate-ek. Azon CA-k listaja amelyek altal kiallitott tanusitvanyokat az LCG elfogadja nyilvanos listan teszik kozze a publikus kulcsaikkal egyutt. Ez az EUGridPMA feladata. (http://eugridpma.org) EUGridPMA – European Policy Mangement Authority for Grid Authentication Az EUGridPMA altal kozzetett CA-k publikus kulcsa minden szamitogepen installalni kell ahol ellenorizni akarjuk a felhasznalok digitalis tanusitvanyanak hitelesseget !



55

EUGridPMA



56

A tanusitvany kiallito hatosagok Orszagonkent 1 CA ! Magyarorszagon az RMKI volt az elso, jelenleg az NIIF vegzi a tanusitvanyok kiallitasat es az RMKI 'csak' intezeti szintu, ugynevezett Regional Certificate Authority (RA).



57

A tanusitvany kiallito hatosagok A digitalis tanusitvany megszerzese kizarolag szemelyesen lehetseges szemelyi igazolvany felmutatasa elleneben. A kiallito CA csak a tanusitvany nyilvanos reszet irja ala/kezeli, tehat ha a titkos kulcsot elveszitjuk vagy elloptak ujat kell kernunk es a regit visszavonni. A visszavont tanusitvanyok listajat a CA a honlapjan kozzeteszi. A szamitogepeken futo, az azonositast vegzo szoftverek ezt a listat minden 6 oraban letoltik. Ha valaki olyan tanusitvannyal probal bejelentkezni ami meg nem jart le, de a CA visszavonta, a probalkozas sikertelen lesz.



58

A Virtualis szervezetek Minden felhasznalonak regisztralni kell magat egy virtualis szervezetbe tevekenysegtol fuggoen. Jelenleg 156 virtualis szervezet van, ezeknek csupan 20%-a nagyenergias fizika.



59

A VOMS szerverek 'Jogositvanyon a kategoria engedely.' Nem minden felhasznalonak adhatunk azonos jogkoroket. Meg kell kulonboztetni oket. Erre a celra szolgalnak a VOMS szerverek. Az engedelyek (VOMS attributumok) megszerzesenek menete a kovetkezo: 1.) A felhasznalo egy mini CA-kent mukodve general egy tanusitvanyt (proxyt) amit alair a sajat titkos kulcsaval. 2.) Elkuldi a a proxyt es a sajat nyilvanos kulcsat a VOMS szervernek. 3.) A VOMS szerver ellenorzi az alairast es megnezi, hogy a felhasznalo regisztralva van-e. 4.) Ha igen akkor a proxy nyilvanos kulcsahoz hozzaadja azokat az attributumokat amikre a felhasznalo jogosult es alairja o is a proxy nyilvanos kulcsat. 5.) Ezt a ketszer alairt proxyt es sajat publikus kulcsat kuldi el a felhasznalo a Grid-nek mikor hasznalni akarja a rendszert. Hungarian Teacher Program, CERN, 2006 augusztus 25.


60

A VOMS proxy -bash-3.00$ voms-proxy-init -voms cms Enter GRID pass phrase: Your identity: /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni Creating temporary proxy ................................ Done Contacting lcg-voms.cern.ch:15002 [/DC=ch/DC=cern/OU=computers/CN=lcg-voms.cern.ch] "cms" Done Creating proxy ................................... Done Your proxy is valid until Fri Feb 1 04:02:18 2008 -bash-3.00$ -bash-3.00$ voms-proxy-info -all subject : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni/CN=proxy issuer : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni identity : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni type : proxy strength : 512 bits path : /tmp/x509up_u9437 timeleft : 11:59:54 === VO cms extension information === VO : cms subject : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni issuer : /DC=ch/DC=cern/OU=computers/CN=lcg-voms.cern.ch attribute : /cms/Role=NULL/Capability=NULL timeleft : 11:59:54



61

A VOMS proxy -bash-3.00$ voms-proxy-init -voms dteam Enter GRID pass phrase: Your identity: /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni Creating temporary proxy ............................................................................. Done Contacting lcg-voms.cern.ch:15004 [/DC=ch/DC=cern/OU=computers/CN=lcg-voms.cern.ch] "dteam" Done Creating proxy ........................................................................ Done Your proxy is valid until Fri Feb 1 04:10:51 2008 -bash-3.00$ voms-proxy-info -all subject : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni/CN=proxy issuer : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni identity : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni type : proxy strength : 512 bits path : /tmp/x509up_u9437 timeleft : 11:59:56 === VO dteam extension information === VO : dteam subject : /DC=ch/DC=cern/OU=Organic Units/OU=Users/CN=gdebrecz/CN=546241/CN=Gergely Debreczeni issuer : /DC=ch/DC=cern/OU=computers/CN=lcg-voms.cern.ch attribute : /dteam/Role=NULL/Capability=NULL attribute : /dteam/ce/HU/Role=NULL/Capability=NULL attribute : /dteam/ce/HU/BUDAPEST/Role=NULL/Capability=NULL attribute : /dteam/ce/Role=NULL/Capability=NULL timeleft : 11:59:56



62

Egy program elkuldese Hogyan hasznaljuk a rendszert ? Megszereztuk az engedelyeket, el kell kuldenunk egy programot ! Egy specialis fajlt kell szerkeztenunk (JDL = Job Description Language) amelynek segitsegevel leirhatjuk, hogy mire van szuksegunk. Type = "Job"; JobType = "MPICH"; NodeNumber = 2; Executable = "test-mpi.sh"; Arguments = "test-mpi"; StdOutput = "test-mpi.out"; StdError = "test-mpi.err"; InputSandbox = {"test-mpi.sh","test-mpi.c"}; OutputSandbox = {"test-mpi.err","test-mpi.out","mpiexec.out"}; Requirements = Member("MPICH", other.GlueHostApplicationSoftwareRunTimeEnvironment);

A rendszer ennek segitsegevel automatikusan megkeresi es lefoglalja a szukseges eroforrasokat. Ahhoz, hogy ezeket az eroforrasokat megtalaljuk kell egy informacios rendszer..... Hungarian Teacher Program, CERN, 2006 augusztus 25.


63

Az LCG informacios rendszere Minden eroforras meghirdeti magat az informacios rendszerben. A Grid nagymertekben heterogen kozeg ezert egy absztrakt eroforras leiro nyelv szukseges ahhoz, hogy megertsek egymast a kulonbozo kliens es szerver alkalmazasok. Ez a GLUE (Grid Laboratory Unified Environment) sema. A nagy Grid projectek (OSG, NorduGrid, EGEE) ezt a kozos semat hasznaljak eroforrasaik leirasara ezaltal biztositva a Gridek kozotti atjarhatosagot. A GLUE sema hasznalataval leirhatjuk: - eroforrasaink tipusat, allapotat - szabad kapacitasokat, installalt szoftver verziok - felhasznaloi jogosultsagokat, rendelkezesre allas idopontjat Ezeket az informaciokat bongeszve keresi meg a rendszer a JDL fajlunkban definialt kovetelmenyeknek megfelelo heleyeket. Hungarian Teacher Program, CERN, 2006 augusztus 25.


64

GLUE pelda #root> ldapsearch -x -h lcg-bdii.cern.ch -p 2170 -b "mds-vo-name=local,o=grid" # ce01.athena.hellasgrid.gr:2119/jobmanager-pbs-dteam, HG-06-EKT, local, grid dn: GlueCEUniqueID=ce01.athena.hellasgrid.gr:2119/jobmanager-pbs-dteam,MdsVoname=HG-06-EKT,Mds-Vo-name=local,o=grid objectClass: GlueCETop objectClass: GlueCE objectClass: GlueSchemaVersion objectClass: GlueCEAccessControlBase objectClass: GlueCEInfo objectClass: GlueCEPolicy objectClass: GlueCEState objectClass: GlueInformationService objectClass: GlueKey GlueCEHostingCluster: ce01.athena.hellasgrid.gr GlueCEName: dteam GlueCEUniqueID: ce01.athena.hellasgrid.gr:2119/jobmanager-pbs-dteam GlueCEInfoGatekeeperPort: 2119 GlueCEInfoHostName: ce01.athena.hellasgrid.gr GlueCEInfoLRMSType: pbs GlueCEInfoLRMSVersion: 2.1.6 GlueCEInfoTotalCPUs: 228 GlueCEInfoJobManager: pbs GlueCEInfoContactString: ce01.athena.hellasgrid.gr:2119/jobmanager-pbs-dteam GlueCEInfoApplicationDir: /opt/exp_soft GlueCEInfoDataDir: unset GlueCEInfoDefaultSE: se01.athena.hellasgrid.gr


GlueCEStateEstimatedResponseTime: 0 GlueCEStateFreeCPUs: 19 GlueCEStateRunningJobs: 0 GlueCEStateStatus: Production GlueCEStateTotalJobs: 0 GlueCEStateWaitingJobs: 0 GlueCEStateWorstResponseTime: 0 GlueCEStateFreeJobSlots: 0 GlueCEPolicyMaxCPUTime: 2880 GlueCEPolicyMaxRunningJobs: 0 GlueCEPolicyMaxTotalJobs: 0 GlueCEPolicyMaxWallClockTime: 4320 GlueCEPolicyPriority: 1 GlueCEPolicyAssignedJobSlots: 0 GlueCEAccessControlBaseRule: VO:dteam GlueForeignKey: GlueClusterUniqueID=ce01.athena.hellasgrid.gr GlueInformationServiceURL: ldap://ce01.athena.hellasgrid.gr:2135/mds-vo-name=l ocal,o=grid GlueSchemaVersionMajor: 1 GlueSchemaVersionMinor: 2


65

GLUE diagram



66

A BDII A BDII – Berkley Database Information Index az LCG informacios rendszere. Hierarchikus felepites. A GLUE sema OpenLDAP vetuletet hasznalja a gyakorlatban. - Teljes adatmennyiseg ma kb 30 MB - Statikus es dinamikus adatok - Egy 'Top-level' BDII 260 'Site-level' BDII informacioit keri le minden 2 percben ! - A CERN-i top level BDII 8 db load balanced gep, 1.5 Mbit/sec allando kimeno forgalom a kliensek lekeresei miatt - Az teljes informacios adatmennyiseg a kozeljovoben meg fog sokszorozodni - Kritikus a gyors informacioaramlas - 'Fuzzy ranking' --> WMS - FCR – Freedom of Choice of Resources Hungarian Teacher Program, CERN, 2006 augusztus 25.


Information Flow

67

WMS es a CE A WMS Workload Management System, (illetve RB – Resource Broker) feladata - a JDL fajlban specifikalt kovetelmenyeknek megfelelo kozpontok megkeresese, - az input fajlok es a vegerdmenyek tarolasa - a jobok allapotanak nyilvantartasa, szamlazasi informaciok eltarolasa - a job tovabbkuldese a CE (Computing Element) fele A CE (Computing element) jelenti az interfeszt a helyi utemezo rendszerek es Grid kozott. - Itt tortenik a VOMS attributumok unix felhasznalokkal torteno tarsitasa - A prioritasok beallitasa - A kozpont tulajdonsagainak pl batch rendszet, tamogatott VO-k, installalt szoftver, maximalis megengedett futasi ido, stb publikalasa. Hungarian Teacher Program, CERN, 2006 augusztus 25.


68

Helyi utemezo rendszerek A Grid middleware 'csak' a szamitogepkozpontok kozotti kommunikaciot, adatmozgatast es a jogosultsagok kezeleset vegzi, lenyegeben egy kommunikacios interfesz a kulonbozo intezetek szamitogepklaszterei kozott. Tobbfajta helyi utemezo rendszerhez (LRMS – Local Resource Management System) illesztheto mint peldaul: - PBS, OpenPBS, Torque (legelterjedtebb az LCG kozpontok kozott) - Condor (foleg amerikaban) - SGE (Sun Grid Engine) - LSF (Fizetos batch rendszer, kivalo supporttal) - BQS (Megszallottaknak) Ezek mind altalanos celu helyi utemezo rendszerek. Kulonbseg koztuk, hogy nyilvanos forraskoduak-e vagy sem, tamogatnak-e kulonbozo alkalmazasokat (MPI, PVM), mennyire robosztusak, konfiguralhatosag, tamogatas, stb... Hungarian Teacher Program, CERN, 2006 augusztus 25.


69

A munkaallomasok A munkaallomasok (WN – Worker Node) a helyi utemezo rendszerek vegrehajto, szamolast vegzo szamitogepei. Minden Grid job egy WN-en fut, oda tolti le illetve onnan tolti fel az adatokat. Egy fizikai gepen (pl ha tobbprocesszoros) tobb felhasznalo programja futhat egyszerre. A kulonbozo certificate DN-ekkel es VOMS attributumokkal rendelkezo felhasznalok kulonbozo - elore definialt es letrehozott - unix userkent fogjak programjaikat futtatni. Ez biztonsagot ad a felhasznaloknak, hogy mas felhasznalok nem fernek hozza adataikhoz. Megis nehany esetben ez sem elegendo.... Ilyenkor alkalmazhatok a virtualis gepek. Hungarian Teacher Program, CERN, 2006 augusztus 25.


70

Biztonsagi kerdesek 'Elszokott' programok: aroot 9054 0.0 0.5 5312 1400 ? dteam001 24985 0.0 0.4 3824 1208 ? dteam001 25008 0.0 0.3 2492 868 ? dteam001 25009 0.0 0.1 1896 468 ? root 9242 0. 0 0.4 5676 1172 ? root 25010 0.3 0.9 8096 2604 ? root 25012 2.6 0.5 2416 1332 pts/0 root 25042 0.0 0.2 3296 772 pts/0

Ss Jan28 0:31 /usr/sbin/pbs_mom -p Ss 14:36 0:00 \_ -bash S 14:36 0:00 \_ /bin/bash /var/spool/pbs/mom_priv/jobs/50.ctb-conf.SC S 14:36 0:00 \_ sleep 600 Ss Jan28 0:00 /usr/sbin/sshd Ss 14:36 0:00 \_ sshd: root@pts/0 Ss 14:36 0:00 \_ -bash R+ 14:36 0:00 \_ ps auxf

Lehetosegek tarhaza: - Zombi halozatok - DoS (Denial of Service) tamadasok - Klikk robotok – Google adds, stb. - Fajlmegoszto szerverek - Hamis web szerverek - COD halozatok (Computing on Demand) - XSS – Cross Site Scripting - Lasd: Orosz – Eszt konfliktus



71

Virtualizacios megoldasok Celja, hogy egy szamitogepen egy operacios rendszer tobb peldanya vagy kulonbozo operacios rendszerek fussanak egy idoben egymastol teljesen elszigetelve. Sokfajta megvalositas, a 6 legismertebb: - 'Chroot' megoldasok - Emulaciok - 'Kontenerek' - Paravirtualizacio - Binaris forditas - Hardware virtualizacio

1.) Chroot: Egy konyvtarba/particion letrehozok egy fajlrendszert es a unix chroot paranccsal inditom a programjaimat. Elonyei: - Gyors, kenyelmes, konnyu installalni Hatranyai: - Nincs a programok kozott teljes szeparacio, egy memoriateruletet hasznalnak, kozos kernel, csak azonos 'jellegu' operacios rendszerek futtathatok. Pelda: https://twiki.cern.ch/twiki/bin/view/EGEE/ChrootEnvs



72

Virtualizacios megoldasok 2.) Emulacio: Teljes, komplett hardware szimulacio. Elonyei: Barmely OS futtathato barmilyen masikon, nem kell a kerneleket modositani. Hatranyai: Nagyon lassu hiszen a hardware teljes emulaciojat igenyli minden rendszerhivas eseten. Peldaul: Qemu, http://fabrice.bellard.free.fr/qemu/

3.) Kontenerek Hasonlo a Chroot megoldasokhoz, de a vendeg operacios rendszerek es processzek gondosan el vannak valasztva, leszabalyozva, teljesen fuggetlenek egymastol. (De a kernel kozos!) Pelda: Ezen a megoldason alapulnak pl: OpenVZ, Sun Containers, Virtuozzo, BSD Jails, Linux-VServer, http://www.parallels.com/en/products/virtuozzo/



73

Virtualizacios megoldasok A 'Konteneres' virtualizacio felepitese:



74

Virtualizacio - Nem uj otlet, az IBM mar a 60-as evekben probalkozott hasonlo megoldasokkal. (System/370) - Az eros szamitogepek elterjedesevel ujra fejlodesnek indult. Az x86 architekturanak 2 bites jogosultsagi szint-kontrollja van. A kernel a Ring0 -ban a felhasznaloi programok pedig altalaban a Ring3-ban futnak:



75

Virtualizacio A paravirtualizacios, a binaris forditas es a hardware virtualizacio is az ugynevezett 'Ring Deprivileging' megoldasokat hasznalja. A gazda operacios rendszer es a VMM nem engedi a vendeg operacios rendszerek kozvetlen Ring0 elereset.



76

Virtualizacio 4.) Paravirtualizacio Szukseges a Ring0 kernel modositasa. Az OS forraskodjahoz hozzaferes. Elonyei: Nagyon gyors, minimalis tobbletmunka a rendszernek Hatranyai: Nem futtathato barmilyen OS, csak ami 'hasonlo' a Ring0-hoz. Peldaul: Oracle VM, SUN xVM, Xen: http://www.xensources.com



77

Virtualizacio 5.) Binaris forditas Nagyon hasonloan mukodik mint a paravirtualizacio, de nem szukseges a Ring0 kernel modositasa. A vendeg operacios rendszer Ring0 hivasai a on-the-fly atiranyitva a VMM fele es leforditva a gazda operacios rendszer nyelvere. Elonyei: Linux, Windows, BSD, barmilyen kombinacioban futtahato Hatranyai: Jelentosen lasabb mint a paravirtualizacio Peldaul: VMWare termekei: http://www.vmware.com



78

Virtualizacio 5.) Hardware virtualizacio Hardware-es kiegeszitest igenyel az IA32 es EMT-64/AMD-64 architeckturakhoz. (svm vagy vt flag a /proc/cpuinfo -ban ) Elonyei:Nem kell modositani sem a vendeg sem a gazda operacios rendszert, legjobb teljesitmeny, szamos peldanya futtahato az operacios rendszernek. Hatranyai: A bovites draga, meg nincsenek altalanosan elterjedt technikak, (bar az Ubuntu ezt karolta fel) Peldaul: Bizonyos Xen bovitesek, KVM megoldasok: http://kvm.guamranet.com Altalanos jellemzok: - Kulonbozo technikak alkalmazasa kulonbozo esetekben, nincs egy altalanosan elfogadott megoldas. - Nagyon gyors fejlodes, egyre szelesebb korben hasznaljak (VS hosting) - Szamos elony, jobb teljesitmeny kihasznalas, szerver migracio -> rendelkezesre allo ido megnovelese, regi programok futtatasa, etc.... Hungarian Teacher Program, CERN, 2006 augusztus 25.


79

VMWare pelda



80

Hogyan hasznaljak a kiserletek? - A monitorozo jobok nem teljesen megbizhatoak, az informacios rendszer nem biztos, hogy helyesen tukrozi a WN-ek tulajdonsagait - A szoftver manager kiprobalja a programjat a sajat gepen, sajat OS alatt a megfelelo szoftver konytarak installalva. - Keszit egy OS 'image' -t. - Ezt atmasolja azokra a kozpontokba ahol majd hasznalni akarja. - Regisztralja az informacios rendszerben az image nevet. Ezutan azok a programok amelyek JDL-eben ezt a image-t kovetelik meg ezekre a kozpontokra lesznek iranyitva. Ott az image kicsomagolasa utan valameny virtualizacios megoldas segitsegevel a job teljesen az 'otthoni' kornyezetben tud futni, izolaltan, nem kell torodni a gazda OS bajaival... Egy minimal OS image 2-300 MB + konyvtarak -> 500 MB. Helyi halozaton ez 40s alatt atmasolhato -> 1 perc alatt elindithato. Hungarian Teacher Program, CERN, 2006 augusztus 25.


81

A Grid konfiguralasa A Grid meg egy nagyon kezdetleges naponta valtozo, kiforrott megoldasokban szukolkodo rendszer amelyet szamos kulonbozo kovetelemenyekkel, es lehetosegekkel rendelkezo intezeti klaszterhoz kell illeszteni. A konfiguralast ugy kell megoldani, hogy azt a helyi rendszergazdak konnyeden sok elozetes tanulas nelkul a sajat szuksegleteikhez tudjak igazitani. --> Egyszeru bash scriptek gyujtemenye a YAIM configuracios eszkoz. Shaving the YAK: « Any seemingly pointless activity which is actually necessary to solve a problem which solves a problem which, several levels of recursion later, solves the real problem you are working on. »

A YAIM logo, egy Jak Hungarian Teacher Program, CERN, 2006 augusztus 25.

- The Jargon File Debreczeni Gergely, CERN IT/Grid Deployment Group

82

III resz Hogyan hasznaljak a kiserletek a Gridet? (CMS adatfeldolgozasi modelje)

A CMS adatfeldolgozasi modelje • Elosztott adatfeldolgozasi, tarolasi es analizalasi modell • Kulonbozo Gridek es technologiak hasznalata • Hierarchikus (Tiered) felepites • Evenkenti ~10 Pbyte egyuttes mert es szimulalt adat

Online system

Tier-0

O(50) primary datasets O(10) streams (RAW)

RAW RECO AOD

RAW,RECO AOD


Tier-2

Tier-1

Tier-2

Scheduled data processing (skim & reprocessing)

First pass reconstruction

tape

Tier-1

Tier-2 Tier-2 • Analysis

tape RECO, AOD


• MC simulation

84

A CMS adatfeldolgozasi modelje - Tier0 (CERN) - Filter Farm - CERN Analysis Facility (CAF), rovid periodusideju feldolgozas - A 'nyers' adatok tarolasa (Raw Data Custodial) - Online rekonstrukcio - Tier1 (kb 7 nemzeti kozpont) - Megosztott 'nyers' adat tarolas - Masod es/vagy re-rekonstrukcio - Formatumvaltas, tomorites (skimming) - Tier2 (~ kb 40) (pl Budapest) - Szimulaciok - Adatfeldolgozas (data mining)



85

A CMS adatfeldolgozasi modelje Teljes adathalmaz - Kb 10 Pbyte/ev Adat kotegek - 0.1 – 100 TB - Meretuk, a merestol fuggoen is valtozik. - Sok fajlt tartalmaznak Fajlok - ~ 1 GB meretuek - Adat kotegekbe rendezesuk segit az MSS-ek (Mass Storage System) skalazhatosagi korlatainak megoldasaban.


Data Tier

Description

GEN

Event kinematics

SIM

Simulation with detector material

DIGI

Simulation of detector readout

RAW

Raw detector output

RECO

Reconstructed event

AOD

High level analysis objects

USER

Final user files


86

A CMS adatfeldolgozasi modelje A 'CMS Data Management System' egy, a kulonbozo tipusu adatok megtalalasara, hozzaferesre es masolasara kifejlesztett automatizalt rendszer. - Adatkoteg-alapu tarolas , replikacio, regisztracio - A job megy az adathoz es nem forditva

UI

Submission tool

DBS

WMS

DLS

CE Job flow

Local file catalog

WN

Data flow

SE

Info flow

PhEDEx Hungarian Teacher Program, CERN, 2006 augusztus 25.

Dataset Bookeeping System: Definition of existing data Data Location Service: Location of replicas of data

Site Local catalog: Physical file location at the site Storage System

PhEDEx: data placement and transfer tool


87

Adatnyilvantarto rendszerek A CMS DBS (Dataset Bookkeeping System) feladatai: - az adatok tipusanak es eloallitasi korulmenyeinek nyilvantartasa - az adatok helyenek es rendszerezesi modjanak nyilvantartasa - egy kozponti DBS a Tier0-ban valamint 'user space' DBS-ek - ORACLE illetve SQLLite adatbaziskezelo hatterrel

DLS

SECERN

SECNAF

fileblock1

fileblock1

..... fileblockN

.....

A CMS DLS (Dataset Location) feladatai: - Segitsegevel megtudhatjuk, hogy mely fajlkotegek talalhatok melyik kozpontokban. - De nem tartalmazza a fajlok, fajlkotegek fizikai eleresi utjat. - A Tier0 -ban van egy kozponti DLS , mindenkinek ezt kell hasznalni.

fileblockM



88

Local File Catalogs A CMS LFC (Local File Catalog) segitsegevel pedig: - Mikor megerkezett a jobunk egy bizonyos kozpontba, az LFC segitsegevel tudhatjuk meg, hogy mi a fizikai elerese utja a feldolgozando fajlnak - A katalogus nem mas mint egy elore meghatarozott helyen, a szoftver manager altal installalt fajl ami regularis kifejezesek segitsegevel logikai fajlneveket fizikai eleresi utakka transzformal. (Trivial File Catalog)

WN Local file Catalog LFN1

PFN1

LFNM

PFNM

........



89

PHEDEX Celja - nagybani adatreplikacio a Tier kozpontok kozott - roboszuts, megbizhato megoldasok - de a standard Grid alkalmazasokat hasznalja

Felepites: - Feladatspecifikus ugynokok o fajl replikacio o utvalaszto dontesek o szallagos (MSS) migracio o fajl elo-tarolas, elokeszites - Kozponti informacios rendszer

Adatmozgatas - Eldonti, hogy melyik adatkoteget replikalja melyik kozpontba - Adatkoteg szintjen tortenik a replikacio nem fajl szinten. - Ellenorzi az eredeti adatkotegeke es a replikak azonossagat, (fajlmeret, datum, ellenorzo osszeg (checksum))

Alkalmazasa: - Egy kozpont informacios rendszer (ORACLE) - Minden kozpontban egy PhEDEx szerver o hegyi ugynokok o MySQL adatbaziskezelo o helyi CMS csoportok altal uzemeltetett - Automatikus proxy megujitas



90

Monte Carlo adatok - Hatalmas mennyisegu szimulalt adatra van szukseg - A CMS celja, hogy 2008-ban 1.5 * 10^9 db szimulalt esemeny teljes rekonstrukciojat elvegezze ! - 2007 -ben sikerult 50M esemenyt rekonstrualni havonta - A MC generalas kozpontositott - A felhasznalok nyomon kovethetik kereseiket Prod. Manager - iranyitja a kerelmeket a kulonbozo klaszterek, Gridek fele. - Nyilvantartja azok allapotat Prod. Agent - Szetosztja, szetdarabolja a jobokat - Vegeredmenyeket osszefuzi - Az eredmenyt a PhEDEx -nek atadja Hungarian Teacher Program, CERN, 2006 augusztus 25.

ProdRequest

Jobs

LCG/EGEE Resource

ProdAgent

Jobs

OSG Resource

ProdAgent

Jobs

Resource

User Request

- UI to create requests - UI to manage requests

ProdAgent

Get Work

ProdMgr Report Progress - Manage the request - Allocate work to ProdAgents when requested - Track global state of request


- Convert work into processing jobs - Create, submit & track jobs - Manage merges, failures, bookkeeping

91

Adatfeldolgozas Adatfeldolgozas soran mert valodi vagy szimulalt adatok feldolgozasa, rendszerezes, tomoritese es mas formatumban valo elmentese, replikaciok keszitese valosul meg. Fajtai: - Szervezett analizis o hivatalos adatfeldolgozas (RAW->RECO-> AOD) o ujrafeldolgozas, atalakitas o nehany ember vezenyli (production manager) - 'Kaotikus' analizis o RECO, AOD -> Root fajlok o a CMS tagok csinaljak, egymastol fuggetlenul, igeny szerint Nagysagrendek: - 10 Pbyte/ev - 2000 felhasznalo - 50 kozpont Hungarian Teacher Program, CERN, 2006 augusztus 25.


92

CRAB munkamenet

list

of s it

es

DLS job submission

job sub mis

Resource Broker


cc es s

UI

DBS

Da ta a

okup o l t e s data

Storage Element Local file catalog

sion

Computing Element

Worker nodes


93

Kalibracios adatok A kalibracios adatok a mert adatok korrigalasahoz, illetve a szimulalt adatok generalasahoz kellenek. - Egy reszuk online meghatarozhato, - Masik reszuk, csak kesobb bizonyos mennyisegu adat feldolgozasa utan allapithato meg. Altalaban egy ujrafeldolgozas szukseges ehhez Az online kalibracios ertekek az adatokkal egyutt rogton elmentesre kerulnek, az offline kalibracios ertekeket pedig a CAF allapitja meg a mert adatok elemzesevel. A kalibracios adatok az osszes T1 es T2 kozpontban elmentesre kerulnek, csak olvashatok.



94

Monte Carlo generalas

- 175 M esemeny 3 honap alatt - 60%-uk Tier-2 kozpontokban - 50%-uk az OSG-n

- Egy esemeny generalasa es rekonstrukcioja 40s -tol 700s -ig terjedo idot vehet igenybe. - Egy esemeny merete 0.5 MB es 1.5 MB kozott valtozik.



95

A CMS monitor CMS kozpontok elerhetosege, a CMS monitor es SAM eredmenyei alapjan.



96

SAM teszteredmenyek



97

IV resz Monitorozas

« A monitorozas az egyik legjobb feladat: ha mukodik szep es latvanyos ha nem mukodik akkor meg nem tortenik semmi komoly, az elet megy tovabb »

Google earth

Google earth

Adatfeldolgozás az LHC-nál

Recommend Documents