Stockage centralisé et sécurisé

I - Présentation générale

• L'Institut met à disposition des équipes et des plateformes un stockage centralisé et très sécurisé.
  Ce stockage est dédié à la conservation et au partage de données scientifiques volumineuses, pérennes, organisées.
  Il est demandé à chaque utilisateur de respecter le cadre d'usage de ce dispositif.
  Ce stockage n'est pas prévu pour la sauvegarde complète des postes de travail individuels ou pour la sauvegarde des documents individuels ou de type bureautique.
  Pour ce dernier besoin, le service Seafile de drive est proposé à chaque personne.

• Jusque mi-2023, ce stockage était intitulé stockage Compellent en référence à la précédente technologie Dell Compellent/FluidFS utilisée.

II - Caractéristiques et sécurité du dispositif

• Dispositif matériel et logiciel :
  • 6 serveurs HPE Apollo 4200 avec 24 disques HDD SATA de 16 To :
    • 3 en production (1 pour les équipes + 1 pour les plateformes)
    • 3 en réplication
    • environ 180 To nets utiles par serveur
    • interface réseau à 10 Gbits/s
  • couche logicielle TrueNAS : système FreeBSD, filesystem ZFS, partage de fichiers SAMBA, interface de gestion Web

• Eléments redondés
  • Alimentation électrique redondée
  • Forte redondance logique permettant de se prémunir contre la panne de 2 disques parmi 6 simultanément
  • Systèmes de production doublés de systèmes de réplication pouvant reprendre le service très rapidement

• Sous garantie d'intervention J+1 par le constructeur HPE
  Sous supervision logique et surveillance matérielle constante

• Pour chaque jeu de données, un mécanisme de snapshots ("photos instantanées") est en place. Il permet de conserver
  • 1 version des données chaque jour durant 1 semaine
  • 1 version des données chaque semaine durant 3 mois
  Depuis un PC Windows, ces snapshots sont directement accessibles, via l'Explorateur Windows et un clic-droit sur les fichiers récemment modifiés.

• Trois copies des données et de ces snapshots sont stockées :
  • la première sur les systèmes de production, dans le bâtiment Buffon ;
  • la deuxième sur des systèmes identiques, situés dans le bâtiment Olympe de Gouges, par réplication journalière ;
  • la troisième sur des bandes magnétiques chez un partenaire académique (Observatoire de Paris à Meudon), par réplication hebdomadaire

• Le réseau de l'Institut Jacques Monod est protégé face à Internet par un pare-feu Stormshield (redondé).
  Seuls les flux entrants strictement nécessaires sont autorisés.
  Les serveurs du dispostif sont un sous-réseau/VLAN, distinct de ceux des postes utilisateurs.

• La configuration par défaut est :
  • Un espace unique de données est mis à disposition de chaque équipe et chaque plateforme
  • Pour les équipes, cet espace se nomme eq_Chef-equipe
  • Chaque espace est uniquement accessible en lecture et écriture à l'ensemble des membres de l'équipe de recherche ou à la plateforme

III - Méthode d'accès

• Le dispositif est accessible en mode partage de fichiers par le réseau
  Cela permet d'accéder directement aux données depuis le bureau de son ordinateur, sans transfert préalable.

• Plus précisément, le dispositif est accessible par le protocole SMB (aussi appelé CIFS) depuis
  • n'importe quel ordinateur connecté au réseau filaire de l'Institut
  • n'importe quel ordinateur distant ou connecté en réseau WiFi, après l'ouverture d'un tunnel VPN
  • un serveur ou une machine virtuelle pour des traitements

• L'accès demande une authentification personnelle, avec un identifiant et un mot de passe spécifiques à ce service.
  Ceux-ci sont distincts des autres services informatiques.
  La création des comptes n'est pas automatique. A demander au service informatique.
  Pour connaitre son identifiant, cf l'annuaire de ces comptes.
  Pour changer son mot de passe, cf ce site.

• Depuis un PC Windows, via l'outil Explorateur de fichiers, suivre
  • rubrique Ce PC
  • clic-droit ou menu Ordinateur - la fonction Connecter un disque réseau
  • cocher Se connecter avec un autre compte
  • saisir \\store1\SON-ESPACE
  • saisir ad-ijm\SON-IDENTIFIANT

• Depuis un Mac, via le Finder sur Mac, cliquer Se connecter et indiquer
  • serveur : smb://store1/SON-ESPACE
  • utilisateur ad-ijm\SON-IDENTIFIANT

• Depuis un PC Linux, via le Gestionnaire graphique de fichiers sur Linux (Nautilus), cliquer sur Autres emplacements
  • Connexion à un serveur : smb://store1/SON-ESPACE
  • utilisateur SON-IDENTIFIANT
  • domaine ad-ijm

• Les procédures détaillées et illustrées pour Windows, MacOS et Linux

IV - Nommage des dossiers et fichiers

• Afin de préserver la garantie d'accès à votre arborescence par tout dispositif de stockage et toute application, il est très fortement conseillé, pour nommer les dossiers et les fichiers, de NE PAS UTILISER les 8 caractères suivants :

  	* : < > , " (blanc en fin de nom de dossier ou de fichier) (point en fin de nom de dossier ou de fichier)
  

• Au delà, l'expérience montre que l'interopérabilité et la pérennité sont maximales, si on se limite à l'usage des caractères suivants :
  • les 26 lettres
  • les 10 chiffres
  • les 3 caractères - _ .

V - Organisation des dossiers et des fichiers

• Il est très facile de fournir par le service informatique des informations sur votre arborescence
  • une vue à différents niveaux de profondeur
  • une liste exhaustive des dossiers et/ou des fichiers
  • un comptage par type d'extensions
  • ....

VI - Accès par interface Web

• L'URL https://monod.ijm.fr est une visualisation par une interface Web de l'espace monod.
• Aussi il est très facile et rapide de faire la même chose pour n'importe quel espace en y ajoutant une authentification en amont, afin de restreindre l'accès à une liste de personnes.
• Cela est pratique pour avoir un accès en lecture seule via une interface Web aux données.
• Si cette fonctionnalité intéresse votre équipe ou plateforme, n'hésitez pas à prendre contact avec le service informatique.