Homedirmigration

From CT Wiki
Jump to navigation Jump to search

Home Directoy Migration

Samenvatting

Voor het einde van het jaar moeten wij alle data opslag van de project shares, de user homes en het gehele mail systeem overzetten naar een nieuwe apparaat. Vooral het overzetten van de home directories van gebruikers zal enige merkbare gevolgen hebben voor de gebruikers. Deze operatie brengt een weekend "downtime" met zich mee van zaterdag 20 november 00:00 tot maandag 22 november 06:00.

Wat gaat er gebeuren?

In het kader van deze werkzaamheden gaan de volgende dingen gebeuren:

1. Afsluiting home directories en project directories

Deze operatie zal beginnen op zaterdag 20 november oi 00:00. Vanaf dit moment kan niet meer worden ingelogd op computers en servers inclusief het Stoomboot cluster. Verzeker je ervan dat je geen lopend werk hebt op die systemen en log vooraf overal uit.

2. Data migration

Gedurende dit proces wordt alle bestaande data vanuit home directories overgezet naar de nieuwe opslag. tegelijkertijd zullen we ook de shares van diverse projecten overzetten. Met name alice, atlas, bfys, lepcol, theorie.

3. Aanpassing toegangsrechten

In dit stap zullen alle home directories van gebruikers worden afgesloten voor andere partijen. Dit betekent dat alleen de eigenaar van een map in deze nog kan lezen en schrijven. Hetzelfde geldt voor alle submappen in jouw user home die met een hoofdletter beginnen want deze zijn altijd deel van een desktop omgeving die prive is. Het zal verder mogelijk blijven om derden toegang te geven naar mappen of bestanden in jouw user home, maar alleen met een directe pad. Direct na deze wijziging zullen anderen niet meer de inhoud van je user home kunnen bekijken, wel verder de diepte in gaan als jij ze expliciet de weg wijst. Ook jouw persoonlijke web pagina's in public_html blijven op die manier verder bereikbaar.

Wees verder voorbereid erop dat door de automatisering van deze operatie misschien dingen dicht kunnen worden gezet die nu nog open zijn, waardoor anderen onverwacht niet meer bij bepaalde bestanden kunnen komen.

Deze instelling kan door de gebruiker zelf aangepast worden nadat de migratie is afgerond. 
Hierbij geldt wel dat je je home directory niet voor anderen schrijfbaar mag maken 
(d.w.z. geen "full control",   "modify" of "write" toegang onder Windows, of een umask groter dan 0755, dwz. meer open dan "u+rwx:g+rx:o+rx"). 
Pas dus op dat je bij het leesbaar maken niet per ongeluk te veel open zet!
4. Heropening toegang en eventuele problemen

De user homes worden op de nieuwe locatie weer toegankelijk gemaakt. Vanaf dit moment kun je weer overal inloggen en je werk voortzetten. Dat zal voor begin van de werkdag op maandag 22 november gebeuren.

Als er na deze operatie problemen optreden bij het gebruik van je home directory, neem dan contact op met de helpdesk. Als je geen mogelijkheid hebt dit via netwerk te doen, bel dan (020) 592 2200

Waarom moet dat zo?

Voor diegenen die alle details willen weten en graag een gemotiveerd verhaal lezen: De reden voor deze operatie is in eerste instantie dat ons oude storage apparaat met het einde van dit jaar "end of life" is. Dat betekent dat er geen ondersteuning en geen vervangende onderdelen van de kant van de leverancier beschikbaar zullen zijn. Omdat de meest belangrijke data van ons instituut op die storage zit, moeten wij hem echt vervangen. Een nieuw aparaat hebben we al in gebruik en wij zijn al een tijd bezig om data over te zetten.

Het nieuwe storage systeem gaat op een andere manier om met toegangsrechten dan het oude systeem. Waar in het oude systeem verschillende sets aan toegangsrechten per bestand of map mogelijk waren tussen Linux en Windows, is in het nieuwe systeem nog maar één set aan toegangsrechten mogelijk. Het voordeel hiervan is in ieder geval dat de toegangsrechten wel altijd hetzelfde zijn.

Het gevolg is dat we nu een keuze hebben moeten maken welke toegangsrechten in het nieuwe systeem worden gebruikt. We kunnen dat niet aanpassen aan de wensen voor iedere gebruiker afzonderlijk. Daarom hebben we een keuze moeten maken, waarbij bestanden die nu ontoegankelijk zijn voor anderen, niet onverwacht wel openbaar worden. De vertrouwelijkheid en privacy worden dus niet minder dan in de huidige situatie. Daar staat tegenover dat het mogelijk is dat bestanden die op het oude systeem wel voor anderen toegankelijk waren, dat in de nieuwe situatie niet meer zijn.

Abstract

Before the end of this year we will have to move all data storage from the project shares, the user homes and the whole mail system to a new appliance. Particularly the migration of the home directories will bring some changes. This operation will lead to a weekend of downtime, from Saturday November 20 00:00 until Monday November 22 06:00.

What is going to happen?

1. Closing off home directories and project directories

This operation will start on Saturday 20th of November 00:00. From this point onward you will not be able to log in on any Nikhef computer or server including the Stoomboot cluster. Please make sure that you have finished all your work before this day and log off from all Nikhef systems.

2. Data migration

During this operation all existing data will be moved from the old user homes to the new storage. At the same time we will move all data from several project shares. Specifically alice, atlas, bfys, lepcol theorie.

3. Adjustment of access rights

In this step we will close off all home directories for everyone except their owners so only they can read and write in those folders. The same will be applied to all subdirectories with capital letters because those always belong to a private desktop environment. It shall remain possible to grant third parties access to specific files or folders in your home directory, but only if you give them the direct path. Immediately following this adjustment, others will not be able to look at the contents of your home directory anymore, but they will be able to traverse it if you tell them where to go. Also your personal web pages under public_html will remain accessible this way.

Due to the automation of this operation, prepare for the possibility that things might get closed off that are now still open.

After the migration is complete, you yourself can change these permissions back, provided you do not grant write access to others. 
For Windows users, this means that you must not give "full control", "modify", or "write" permissions to e.g. the Authorized Users group or to "Everyone". For Unix users, your umask must not exceed "0755", i.e., it must not be more open than "u+rwx:g+rx:o+rx". 
Thus beware that you do not grant access to things that should be private (such as personal data of others).
4. Reopening of access and possible problems

The user homes shall be opened at the new location. From that moment on you will be able to log in again everywhere and continue with your work. This will be happening before the workday on Monday 22nd begins.

If there appear to be problems with your home directory after this operation, please contact the helpdesk. If you can't do that via netwok, please call (020) 592 2200

Why does this have to happen?

For those who like to know all the details and want to read a proper explanation: The main reason for this operation is, that our old storage appliance will be "end of life" by the end of this year. That means there will be no more support or spare parts available from the vendor. Because the most important data of our institute is stored on this appliance, we really have to replace it with a new one. We have bought a new storage appliance and have been using it for some time already and are migrating data to it.

The new storage system handles access rights differently from the old system. The old system used two independent sets of access rights on files and directories for Linux and Windows client systems, but the new storage only supports one set of access rights. The advantage of this solution is that the access rights to your data are the same for all client platforms.

As a consequence of the technical limitation, we had to make a choice which access rights will be used in the new system. We cannot adjust them to the wishes of each individual user. Therefore we had to make a safe choice, such that files that are currently inaccessible to other users than their owner, will not unexpectedly become publicly accessible. So the confidentiality and privacy will not become worse than in the current situation. However, it is possible that some files that were accessible to others on the old system, are no longer accessible in the new situation.