Stockage centralisé et sécurisé store*

I - Présentation générale

• L'Institut met à disposition des équipes et des plateformes un stockage centralisé et très sécurisé.
  Ce stockage est dédié à la conservation et au partage de données scientifiques volumineuses, pérennes, organisées.
  Il est demandé à chaque utilisateur de respecter le cadre d'usage de ce dispositif.

• Ce stockage n'est pas prévu pour la sauvegarde complète des postes de travail individuels ou pour la sauvegarde des documents individuels ou de type bureautique.
  Pour ce dernier besoin, le service Seafile de drive est proposé à chaque personne.

• Jusque mi-2023, ce stockage était intitulé stockage Compellent en référence à la précédente technologie utilisée Dell Compellent/FluidFS.

• L'organisation générale est :
  • un espace unique de données est mis à disposition de chaque équipe et chaque plateforme
  • pour les équipes, cet espace se nomme eq_Chef-equipe
  • chaque espace est accessible en lecture et écriture à l'ensemble des membres de l'équipe de recherche ou à la plateforme, sauf autre choix spécifique

II - Accès principal

• L'accès principal est en mode partage de fichiers
  Il permet d'accéder directement aux données depuis le bureau de son ordinateur, sans copie à réaliser entre son ordinateur et le serveur.

• Plus précisément, l'accès se fait par le protocole SMB (aussi appelé CIFS) depuis
  • n'importe quel ordinateur connecté au réseau filaire de l'Institut
  • n'importe quel ordinateur distant ou connecté en réseau WiFi, après l'ouverture d'un tunnel VPN
  • un serveur ou une machine virtuelle pour des traitements

• L'accès se fait par authentification personnelle, avec un identifiant et un mot de passe spécifiques à ce service.
  Ceux-ci sont distincts des autres services informatiques de l'Institut.
  L'identifiant est de la forme jmarchand. IMPORTANT : lors de son usage, il faut le préfixer par ad-ijm\ ( caractère blackslash). Exemple : ad-ijm\jmarchand
  Pour connaitre son identifiant, cf l'annuaire de ces comptes. Pour changer le mot de passe associé, cf ce site.

• IMPORTANT : dans tout ce qui suit, il est fait mention du serveur de stockage store1

• Ceci est vrai pour tout le monde, sauf pour les entités suivantes qui doivent utiliser, à la place de store1, les noms indiqués ci-dessous
  • Equipes
    • Dumont : store-dumont - Greenberg : store-greenberg - Jackson/Verbavatz : store-jacksonverbavatz
    • Ladoux-Mege : store-ladouxmege - Minc : store-minc - Ribes : store-ribes
  • Plateformes
    • enSCORE : store-enscore\pft_ensCORE - Génomique : store-geno\pft_GenoTranscript - ImagoSeine : store-imago\pft_Imago - Protéoseine : store-proteo/pft_Proteo
  • Services support, responsables, direction, assistants de prévention : store-support\sces_support
  • Intranet Monod : store-monod\monod

• Depuis un PC Windows, via l'outil Explorateur de fichiers, suivre
  • rubrique Ce PC + clic-droit ou menu Ordinateur - choisir la fonction Connecter un disque réseau
  • cocher Se connecter avec un autre compte - saisir \\store1\SON-ESPACE - saisir ad-ijm\SON-IDENTIFIANT et le mot de passe
  • procédure détaillée et illustrée pour Windows

• Depuis un Mac, via le Finder, cliquer Se connecter et saisir
  • serveur : smb://store1/SON-ESPACE - utilisateur ad-ijm\SON-IDENTIFIANT - mot de passe
  • procédure détaillée et illustrée pour MacOS

• Depuis un PC Linux, via le Gestionnaire graphique de fichiers sur Linux (Nautilus), cliquer sur Autres emplacements
  • Connexion à un serveur : smb://store1/SON-ESPACE
  • utilisateur SON-IDENTIFIANT - domaine ad-ijm - mot de passe
  • procédure détaillée et illustrée pour Linux

III - Autres accès

En transfert de fichiers par SFTP et Filezilla

Par interface Web

• https://monod.ijm.fr est une visualisation par une interface Web de l'espace \\store-monod\monod.
• Il est possible faire la même chose pour n'importe quel espace en y ajoutant une authentification en amont, afin de restreindre l'accès à une liste de personnes.
• Cela est pratique pour avoir un accès en lecture seule via une interface Web aux données.
• Si cette fonctionnalité intéresse votre équipe ou plateforme, n'hésitez pas à prendre contact avec le service informatique.

IV - Caractéristiques et sécurité du dispositif

• Dispositif matériel et logiciel :
  • 8 serveurs HPE Apollo 4200 avec 24 disques magnétiques SATA de 16 To :
    • 4 serveurs en production dans le bâtiment Buffon
    • 4 serveurs de réplication dans le bâtiment Olympe de Gouges
    • environ 180 To nets utiles par serveur
    • interface réseau à 10 Gbits/s
  • couche logicielle TrueNAS : système FreeBSD, filesystem ZFS, partage de fichiers SAMBA, interface de gestion Web

• Eléments redondés
  • Alimentation électrique redondée
  • Forte redondance logique permettant de se prémunir contre la panne simultanée de 2 disques au sein de chacun des 4 groupes de 6 disques
  • Systèmes de production doublés de systèmes de réplication pouvant reprendre le service très rapidement

• Sous garantie d'intervention J+1 par le constructeur HPE
  Sous supervision logique et surveillance matérielle constante

• Pour chaque jeu de données, un mécanisme de snapshots ("photos instantanées") est en place. Il permet de conserver
  • 1 version des données chaque jour durant 1 semaine
  • 1 version des données chaque semaine durant 3 mois
  Depuis un PC Windows, ces snapshots sont directement accessibles, via l'Explorateur Windows et un clic-droit sur les fichiers récemment modifiés.

• Trois copies des données et de ces snapshots sont stockées :
  • la première sur les systèmes de production, dans le bâtiment Buffon ;
  • la deuxième sur des systèmes identiques, situés dans le bâtiment Olympe de Gouges, par réplication journalière ;
  • la troisième sur des bandes magnétiques chez un partenaire académique (Observatoire de Paris à Meudon), par réplication hebdomadaire

• Le réseau de l'Institut Jacques Monod est protégé face à Internet par un pare-feu Stormshield (redondé).
  Seuls les flux entrants strictement nécessaires sont autorisés.
  Les serveurs du dispostif sont un sous-réseau/VLAN, distinct de ceux des postes utilisateurs.

V - Conseils

Nommage des dossiers et fichiers

• Afin de préserver la garantie d'accès à votre arborescence par tout dispositif de stockage et toute application, il est très fortement conseillé, pour nommer les dossiers et les fichiers, de NE PAS UTILISER les 8 caractères suivants :

  	* : < > , " (blanc en fin de nom de dossier ou de fichier) (point en fin de nom de dossier ou de fichier)
  

• Au delà, l'expérience montre que l'interopérabilité et la pérennité sont maximales, si on se limite à l'usage des caractères suivants :
  • les 26 lettres
  • les 10 chiffres
  • les 3 caractères - _ .

Organisation des dossiers et des fichiers

• Il est très facile de fournir par le service informatique des informations sur votre arborescence
  • une vue à différents niveaux de profondeur
  • une liste exhaustive des dossiers et/ou des fichiers
  • un comptage par type d'extensions
  • ....