[論文レビュー] Fine-Grained Authorization for Job and Resource Management Using Akenti and the Globus Toolkit
本稿では、Globus Toolkit 2 と Akenti 認証サービスを用いて、グリッド環境におけるジョブおよびリソース管理のための細粒度アクセス制御フレームワークを提示する。ジョブ起動時に動的ポリシー適用を可能にし、ユーザーおよび仮想組織(VO)のポリシーに基づいて、CPU、メモリ、実行可能ファイルの使用を制御する。他のVOによるジョブ管理の権限移譲もサポートする。
As the Grid paradigm is adopted as a standard way of sharing remote resources across organizational domains, the need for fine-grained access control to these resources increases. This paper presents an authorization solution for job submission and control, developed as part of the National Fusion Collaboratory, that uses the Globus Toolkit 2 and the Akenti authorization service in order to perform fine-grained authorization of job and resource management requests in a Grid environment. At job startup, it allows the system to evaluate a user's Resource Specification Language request against authorization policies on resource usage (determining how many CPUs or memory a user can use on a given resource or which executables the user can run). Furthermore, based on authorization policies, it allows other virtual organization members to manage the user's job.
研究の動機と目的
- リソースが複数の組織間で共有されるマルチドメインのグリッド環境において、細粒度アクセス制御の需要が高まっていることを踏まえ、そのニーズに対応する。
- ユーザーの身元、リソースタイプ、ポリシー制約に基づいて、ジョブ提出およびリソース使用の正確な認証を可能にする。
- 仮想組織(VO)のメンバーに対して、ポリシー規則に従って特定のユーザーのジョブ管理権限を委任できるようにする。
- 既存のグリッドインfra構造(Globus Toolkit 2)と統合することで、相互運用性と実用的導入を保証する。
- 下位のミドルウェアを変更することなく、複雑なポリシーをサポートできるスケーラブルで拡張性のある認証メカニズムを提供する。
提案手法
- 分散リソース管理およびジョブ提出の基盤ミドルウェアとして、Globus Toolkit 2 を活用する。
- 実行時における細粒度アクセスポリシーの適用のために、Akenti 認証サービスを統合する。
- リソース仕様言語(RSL)を用いて、CPU、メモリ、実行可能ファイルの制約を含むユーザーのジョブリクエストを表現する。
- 中央集権的な認証ポリシーを評価し、ユーザーまたはグループごとの許可されたリソース使用を定義する。
- ロールベースの委任を可能にし、仮想組織のメンバーがポリシー規則に従って特定のユーザーのジョブを管理できるようにする。
- リソース割り当ての前に、ジョブ起動時にポリシー評価を実施することで、アクセス制御への準拠を保証する。
実験結果
リサーチクエスチョン
- RQ1マルチドメインのグリッド環境において、ジョブおよびリソース管理のための細粒度アクセス制御をどのように効果的に実装できるか?
- RQ2従来の Globus ワークフローに影響を与えることなく、ジョブ提出時に動的ポリシー評価を実現するメカニズムは何か?
- RQ3CPU、メモリ、実行可能ファイル使用量をユーザーまたはグループごとに制御するための認証ポリシーは、どのように表現され、実装されるか?
- RQ4仮想組織内での他のユーザーに対して、どのようにしてジョブ管理権限を安全に委任できるか?
- RQ5Akenti を Globus Toolkit 2 と統合する際の統合オーバーヘッドとスケーラビリティは、実際のグリッド導入においてどの程度のものか?
主な発見
- システムは、ジョブ起動時に事前に定義された認証ポリシーに基づいて RSL ベースのジョブリクエストを検証することで、細粒度アクセス制御を効果的に実装した。
- Akenti を Globus Toolkit 2 に統合することで、コアミドルウェアの変更なしに動的ポリシー評価が可能になった。
- 他の仮想組織メンバーへのジョブ管理権限の委任をサポートしており、セキュリティを保ちつつ協働性を向上させた。
- ユーザーおよびグループのロールに基づいて、CPU、メモリ、実行可能ファイル使用量のリソース消費を効果的に制御できる。
- Globus Toolkit 2 の制約内でスケーラブルであり、National Fusion Collaboratory などの実際のグリッド環境でも実用性が確認された。
- 本システムは、CHEP03 会議での実運用環境での検証を経て、実用性および耐障害性が裏付けられた。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。