Inferno distributed file system

IDFS je distribuovany filesystem s prvkami p2p ktory by mal byt schopny zdielat data medzi nodami uplne
transparentne,redundante a bezpecne. Cielom clanku je predstavit ciastocny navrh resp
myslienky ku ktorym som dospel zhruba pol rocnom uvazovani,nejakymi predstavami a tym
ze sem videl ako sa zdielaju data v Ynete :).

Ako z nazvu vypliva, mal by byt implementovany ako aplikacia nad Infernom a uz existujucou
melua grid sietou. Je to vlastne aplikacia Melua grid projektu. Vdaka Infernu mame zabezpecene
ze to bude fungovat na roznych pocitacoch.

Ked som pracoval na Melua grid projekte vedel som ze bude potrebny nejaky filesystem ktory
umozni vyuzit nevyuzite miesto na diskoch. V sieti Ynet na intrakoch FEI/FIIT ktora
ma pripojenych cez 1400 userov v ramci LAN je ten problem ze data su casto krat zdielane
na roznych pocitacoch, tj ze tie iste data su na roznych pocitacoch. Vacsinou sa jedna
o multimedialny obsah ktory len zabera zbytocne miesto. Taktiez bol casto problem ze
v momente ak bol dany pocitac vypnuty alebo sa vypol pocas kopirovania tak sa k datam
uz nedalo dostat.

Napadlo ma ze by bolo skvele mat nejaky sietovy distribuovany filesystem ktory by vedel toto:

• umoznit dostat sa k datam ktore su ulozene na nedostupnych pocitacoch
• decentralizacia, nesmie mat ziadny centralny bod (takze vlastne policia nema co vziat :)
• transparentne sifrovanie a kompresia
• pristupny z roznych OS (vdaka Infernu)
• klasicke unixove prava
• ma sa tvarit ako dalsi sietovy disk (bud Z: alebo napr. /mnt/remote)
• neobmedzenu velkost suborov, adresarov a podobne
• snapshoty
• linky
• neukladal viac krat ten isty obsah
• - ACL *
• - quota *

* - su veci v ktorych este nemam jasno
a to vsetko by mal stihat tak aby si clovek co najmenej tieto veci vsimol, teda rychlo :)

V praxi by to malo vyzerat takto:
Pripojite sa so svojim pocitacom do siete s tym ze idete robit s datami na idfs. Zacnete
tam kopirovat svoj novy film ale kedze uz to spravil vas kamarat skor tak sa len vytvori
odkaz na tie iste data (rozlisuju sa podla SHA-1 hashu) cize sa usetri par stovak MB. V
tom si spomeniete ze vo vasom domovskom adresari sa nachadza projekt ktory treba dokoncit.
Vojdete do svojho domovskeho adresara ktory ma nastaveny bit na sifrovanie takze cokolvek v
nom zapisane alebo citane sa sifruje. V nom sa nachadza adresar s vasou pracou. Lenze
potrebujete projekt skompilovat so suborom ktory bol pred tyzdnom zmazany. Ziaden problem
kedze adresar projektu ma nastaveny aj snapshot bit. Specialnym prikazom poprosite aby
vam filesystem vybavil stav suboru v case pred tyzdnom no a skompilujete... :). Ze medzi tym
vypadla tretina pocitacov na ktorych mate poukladane data ani nespominam :).

Realizacia
1.Fungovanie na roznych operacnych systemoch
Kedze Inferno OS funguje ako aplikacia nad roznymi OS nie je problem ho rozbehat nad akymkolvek
Unixom, Windowsom alebo Plan9. Inferno komunikuje protokolom Styx ktory uz vie citat linux a
nie je problem si jeho namespace primountovat pod linuxom. Pod windows este take nieco nie
je ale urcite by sa to dalo spravit kedze existuje Styx kniznica. Vdaka tomu by mal byt
pristupny uplne transparentne roznym aplikaciam.

2. Ako chces zabezpecit dostupnost dat na nedostupnych pocitacoch ?
Hadam toto je najlepsia featura celeho systemu. Ako sa dostat k tym datam ?Jedna moznost je takzvana replikacna moznost tj ze ten isty subor sa nakopiruje na co najviac pocitacov a budete dufat ze bude aspon jeden dostupny. Preco je tato metoda nevhodna ukazem dalej. Je tu lepsi sposob a ten je

Information dispersal algorithm (IDA: http://www.blackhole.sk/~v92/dfs/p335-rabin.pdf).
IDA dokaze subor rozdelit na n casti a to tak ze povodny subor sa da zrekonstruovat len pomocou m
casti a to tak ze

pricom celkova velkost mnozstva ulozenych dat je rovna

Vyhoda a zaroven aj nevyhoda je ze ak mate m - 1 casti tak nemate ziadnu predstavu ako vyzeral
povodny subor ani ze polovicnu :).Neda sa to.

dajme si priklad:

Mame subor velky 10 000B a siet ktora pozostava zo 14 pocitacov. Subor rozdelime cez IDA na 14 casti a to tak ze nam staci 10 roznych z nich aby sme povodny subor zrekonstruovali.Skutocne mnozstvo dat ktore musime ulozit do idfs je:

a velkost jednej casti bude

Mnozstvo dat ktore musime ulozit navyse je 40% z povodneho suboru. Staci nam vsak len 10 dostupnych lokacii teda pocitacov (ak berieme ze jedna cast je ulozena na jeden pocitac) a subor sme schopny zrekonstruovat.

Pri replikacnej metode je mnozstvo dat ktore musime ulozit 14 * 10 000 teda o 1400% viac ako pri IDA. Avsak nam staci jeden pocitac dostupny. Ale to je to prave comu sa snazime vyhnut pretoze ak by pri kopirovani nastalo prerusenie spojenia alebo pad pocitaca, data by boli znova nedostupne.

IDA v tomto jednoznacne vyhrava, nielenze jej staci 40% redundancie navyse oproti 1400% ale ak padne pocitac z ktoreho tahame aktualnu cast tak nam staci najst iny pocitac ktory obsahuje cast ktoru este nemame a stiahneme. Navyse je velka vyhoda v tom ze parametre n a m sa daju nastavit takze je mozne dynamicky upravovat redundanciu podla potrieb.

3. Ako chces zriesit decentralizaciu ? Budes mat problem s konzistenciou dat.

Ak nemate centralny bod tak cely system sa stava automaticky robustnejsim avsak je nachylny
na nekonzistenciu. V nasom pripade to znamena ze by sa mohlo stat ze nebudeme mat konzistentne data
a informacie na nodach. Koli korektnej adresarovej strukture je nutne aby vsetky nody mali rovnake
informacie o tom ktory subor je otvoreny kym, na ktore data sa odkazuje subor ci na stare alebo nove
a pod. V prvom rade ide o to ze ak si chceme otvorit nejaky subor mozme sa pozriet do svojej tabulky
otvorenych suborov (slovo mozme je namieste, vysvetlim neskor).Ak sa da otvorit tak mozme tym
oboznamit dalsie stroje. Na to su dva sposoby:

A) notifikacia linearne - prechadzat zoznam vsetkych strojov a hovorit im ze ste si otvorili subor. To je
celkom fajn ale predstavme si ze mame 1400 strojov a kazdy chceme informovat. Nielenze zbytocne
prenasame tie iste data (v tomto pripade 1400x) ale trvalo by to aj dost dlho. Proste blud.
Preto musime pouzit fintu :).

B) notifikacia cez binarny strom - nam umozni zrychlit notifikaciu vsetkych strojov o niekolko radov a zabezpeci ze sa nemusia posielat vzdy tie iste data. Riesi sa to cez taky kvaaazi centralny bod. Totizto cely Melua grid projekt vyuziva takzvany registry server ktory zbiera informacie o tom ze ktora noda cim disponuje a hlavne kde. Treba si uvedomit ze idfs je jedna z aplikacii ktora vyuziva prostredie Melua grid projektu a ze podobnych aplikacii moze byt viac resp. staviat jednu nad druhou. Ale to je uz buducnost a odbehol som, takze ten registry server nam poskytne zoznam nod ktore su v gride. Mozme si to predstavit ako pole nod ktore si mozme zoradit najlepsie podla dlzky uptimu nod. Tj prva bude ta co je v systeme najdlhsie a posledne tie co sa prihlasili len teraz. Kto pozna binarne stromy vie ze sa daju pekne reprezentovat aj cez pole, takze priamy dosledok je ten ze sa nam automaticky s pribudanim a ubudanim nod rekonstruuje binarny strom prakticky zadarmo. Ale to este vzdy nie je toto co je na tom najlepsie. Najlepsie je ze ak prvej node v zozname oznamime ze otvarame subor ta to posle dalsim dvom strojom podla tohto pravidla:

Dosledkom je ze cely strom prejdeme za cas log n (so zakladom 2) cize pre nas pripad (1400 pocitacov)
to bude log2 1400 = 10.39. Je to preto lebo notifikacia prebieha paralelne a preto je pre nas dolezita len vyska stromu. Cize ak by notifikacia jedneho stroja trvala jednu sekundu tak tymto sposobom
notifikujeme 1400 pocitacov za cca 11 s a cas nam rastie logaritmicky a tym prvym za 1400 s nam cas rastie linearne :).

Co vsak v pripade ze niekto nabehne a vezme prve tri nody z tabulky? Nuz nastane pripad ze korenom stromu sa stane stvrta noda ktora ma najaktualnejsie data pretoze su nody zoradene podla _uptime-u_. Takze navzdory tomu ze mame centralny bod tak ho aj zaroven nemame pretoze v pripade jeho vypadku sa automaticky cely system bude odkazovat na dalsi za nim u ktoreho je predpoklad ze bude mat najkonzistentnejsie data kedze je tu najdlhsie. Ono mali by mat vsetky nody v systeme ale v pripade pochybnosti je mozne sa pozriet ako to vyzera v korenovej node a upravit sa. Tento fakt aj suvisi s tym ze informacie o adresarovej strukture sa nikam neukladaju.Je to preto aby nevznikal bordel a nove nody, resp nody ktore sa hlasia do systemu si stiahli najaktualnejsi stav fs od korenovej nody (pretoze ta je
tu najdlhsie). Informacie o adresarovej strukture su ukladane do ramdisku.

4. Ako sa ukladaju data ? ...alebo ked adresar je suborom a subor adresarom
Ukladat data na disk treba tiez nejakym systemom pretoze ukladat ich hocjako tak to by bola riadna habadura ze. Najlepsie je aby sme co najmenej museli kodit takze sa pozrieme co nam ponuka operacny system Inferno. Po blizsom nahliadnuti zistime ze kniznicu na vytvorenie a manazment databazy. To je ono. Databaza je dedikovana na vyhladavanie,ukladanie a vyberanie dat a vobec na pracu s nimi. Konkretne tato
db funguje na principe hashovacej tabulky. Kazdopadne je dolezite ze nam ponuka jednoduchy interface na pracu s datami.
Ale akymi datami ?
Co su tie data ? Data su vlastne bloky velkosti 8kB ktore sa ukladaju do databazy. Tieto bloky mozu byt rydzo datove alebo adresarove, tj ze definuju adresarovu strukturu. Datove bloky sa ukladaju na disk kde sa nimi aj pracuje, kdezto adresarove sa ukladaju len do ramdisku koli tomu
aby v pripade vypadku sa nacitala vzdy ich najaktualnejsia verzia. Aku maju strukturu tieto bloky si ukazeme na tejto scheme:

Blok:

hash - 20B dlha sekvencia bajtov vygenerovana SHA-1
attr

• size - 64b cislo udavajuce velkost suboru
• mode - pristupove prava, typ bloku:dir,file...
• atime - cas pristupu
• mtime - cas modifikacie
• name - meno suboru alebo adresara ale ako string
• uid - meno uzivatela
• gid - meno skupiny
• mid - meno uzivatela ktory naposledy zmenil subor

Atributy este nemam celkom premyslene a je velmi pravdepodobne ze sa este vela veci zmeni. Spomedzi vsetkych moznych blokov v celom idfs ma len jeden jeden jediny jedno vysadne postavenie a to je ROOTBLOCK. Tento rootblock je strukturov uplne taky isty ako ine bloky len s tym rozdielom ze sa pevne vola / resp. na jeho identifikaciu sa pouziva hash pismena /. Najlepsie ako to cele funguje si ukazeme na priklade ked sa nova noda pripoji do systemu.
V tomto momente sa stane toto:
1. noda vysle spravu STAT / korenovej node binarneho stromu ktora mu posle rootblok a ak nie tak potom ine (spominate na notifikaciu otvorenych suborov?)
2. prebehne nejaka zakladna kontrola integrity a pravosti
3. od 192. B zacinaju v bloku hashe, kedze hash ma 20 B a mame este 8000B mame celkovo 400 hashov
4. noda si zacne od systemu pytat bloky s tymito hashmi. tieto hashe sa mozu odkazovat na dalsie adresare a subory
5. hash400 moze byt odkaz na blok v ktorom su dalsie hashe takze mame neobmedzene mnozstvo poloziek v korenovom adresari (aj vsade inde)

Predstavme si ze hash1 je odkaz na subor. Noda si vypyta blok s hashom hash1 a ide rozparsovat ale tu nastupuju iste pravidla ktore urcuje atribut size.

to znamena ze ak je subor dost maly tak nebude prechadzat ani IDA ale data sa ulozia priamo do bloku co sposobi ich okamzitu dostupnost.

jednotlive hashe sa odkazuju na bloky ktore su uz datove, tj priame adresovanie
a prechadzaju IDA transformaciou.

jednotlive hashe sa odkazuju na takzvane IDA bloky ktore su velke 32 MB kazdy.
A zase, ak subor bude vacsi ako 12800MB potom hash400 nebude odkazovat na IDA blok ale na dalsi blok kde budu odkazy na dalsie IDA bloky. A tak do nekonecna :).

A preco prave 32 MB ?
Problem je v tom ze ak by sme si chceli pozriet subor ktory ma 12800MB ktory by bol pretransformovany cez IDA museli by sme ho jednak cely stiahnut k sebe a po druhe potrebovali by sme cez 13 GB RAMky na transformaciu. Dalo by sa to cez disk ale je to hodne neprakticke. Tento sposob vlastne rozdeli vstupny subor alebo stream (je to jedno) na casti velke 32MB ktore su z pohladu IDA nezavysle preto IDA bloky. Mozu byt transformovane nezavisle na sebe. Cize ak by sme si pustili z idfs film staci nam stiahnut prvych 32MB a mozme pozerat zatial co na pozadi by sa uz stahovali dalsie bloky.A v momente keby sme chceli skocit na polovicu tak by sa na zaklade offsetu vypocitala poloha hashu v bloku, ten by sa stiahol, transformoval a slo by sa dalej. Idealne by bolo aby kazdy pocitac v sieti obsahoval aspon jednu cast z kazdeho IDA bloku.

Snapshoty

V pripade ze by bol bit snapshot aktivny tak nezavysle na tom ci je to blok na subor alebo adresar dialo by sa toto:

kde snap* su hashe na prvy blok adresara alebo suboru v nejakom case podla mtime.

Takze akakolvek zmena by sa prejavila len tym ze by sa do bloku len pridavali odkazy ktore by zachytavali
inkrementalne zmeny. Defaultny by bol samozrejme ten posledny.

Ale je velmi pravdepodobne ze cela sekcia sa bude musiet upravit.

5. A co bezpecnost ?

Pri navrhu som vychadzal z toho ze svet neni len ruzova zahrada a cajove party. Uvedomil som si ze zriesit bezpecnost pri takomto systeme je pomerne narocne zvlast koli tomu ze si ukladate svoje data na stroje inych ludi co moze byt pre niekoho problem.V prvom rade tu mame sifrovanie ktore si musi kazdy user nastavit sam tam kde potrebuje, druha vec je ze ako som uz vyssie spominal IDA ma tu vlastnost ze ak mate m - 1 blokov tak nemate ziadnu informaciu o tom ako vyzeral povodny subor, suvisi to totizto z maticami a pravidlami s nasobenim medzi nimi. Samozrejme je sifrovanie sifrou IDEA medzi nodami ktore zabezpecuje uz samotne Inferno/Melua grid projekt.

Taktiez je dolezite aby neprebehlo neautorizovane citanie zo systemu. Totizto ide o to ze ak chcete
z nejakeho suboru citat musite o tom upovedomit vsetky ostatne nody takze si ho vlastne zamknete pre seba (za predpokladu ze mate na to pravo). Kazda noda si o tom vedie zaznam ze kto ma co otvorene, takze ak pride nejaky dotaz ze chcem takyto a takyto hash a dotycny nie je evidovany ze ma
otvoreny subor tak ma smolu lebo ziadne data nedostane a jedine co dostane je maximalne -EPERM. Na to aby ste si mohli otvorit nejaky subor potrebujete samozrejme prava, a zase...ak tie prava nemate tak si nody nezaznamenaju ze ste otvorili subor a mate smolu. Takze s kludom moze nabehnut nejaky
haxor do systemu s tym ze si dumpne cely idfs na svoje diskove polia (hi wire ! :) a s upravenym idfs klientom ktory neriesi svoju tabulku otvorenych suborov.Dostane nic.Nody mu nedaju ani bajt. A podobne to bude asi aj s quotami. Totizto kazda kontrola otvorenia a prav a podobne prebehne hlavne s lokalnymi tabulkami ktore sluzia len na urychlenie procesu, ale program ich nemusi vobec pocuvat.

6. Problemy

Najvacsou prekazkou ale zase aj plusom zaroven ze sa to cele kodi v programovacom jazyku Limbo ktory je urceny na concurrent programming takze ako stvoreny na pracu na multithreadovane aplikacie. idfs ak bude tak bude silno multithreadovy takze vytazi tie dual cory a quadcory a mozno aj gpucka na maximum :).
Problemom je zaroven aj algoritmus IDA ktoreho implementacia pod Infernom je pomerne pomala resp cely algoritmus je dost pomaly takze kodovanie 32 MB suboru trva skoro 48 sekund (ale ja mam 1 GHz cpu :). Ale je tu mnozstvo ciest na optimalizaciu takze casom by sa to mohlo o hodne zlepsit. Dalej je celkom
nedobre ze nemam este v mnohych veciach celkom predstavu resp. sa veci menia a casto je zdrojom problemov IDA :).

6.1 Ked kapacita idfs = f(uptime_nod)
IDFS ma jednu zvlastnu vlastnost...jeho kapacita nerastie ani tak s mnozstvom nod ale skor s mnozstvom pocitacov ktore su online dlhsie podla isteho kriteria u ktoreho este nemam celkom predstavu ako vyzera (bude to mat nieco s uptimemom za rok v hodinach :). Pretoze mozme rozsievat
bloky kade tade po nodach ale co ak prave ta mnozina pocitacov na ktoru sme to rozsiali tu nebude ? Cyklycky prechadzat 1400 pocitacov a davat im vzdy nejaky blok ? Asi nie... . Ukazeme si na
tomto obrazku.
ako vidite z tejto statistiky ktoru som spravil za vikend v ynete (kedy je na sieti najmenej ludi) vypliva ze bolo za kazdych okolnosti a v kazdu hodinu online minimalne 100 pocitacov. To znamena ze ak chceme garantovat 100% dostupnost dat je najlepsie ak budeme data v idfs ukladat hlavne na tychto 100.
Ak je ich viac tak sa nic nedeje lebo ostatne pocitace mozu mat len take bloky ktore su na tych hlavnych 100. Za tychto okolnosti budeme mat vzdy dostupnych m ida blokov (teda ak by sa nestala nejaka katastrofa, ale to je uz potom userom asi nejaky idfs ukradnuty ze :) lebo budu len na tych 100 strojoch co su vacsinou online. ked si predstavime ze kazdy stroj da idfs povedzme 100 GB priestoru, tak mame 10 TB uloziste dat ktore vysi nad celou sietou ako oblacik na cisco
obrazkoch :).

7. Zaver

Tento text berte len informacne. Napisal som to preto aby som oboznamil inych ludi so svojimi myslienkami a aby to co mam po roznych potrhanych papieroch a zositoch popisane dal na jedno miesto. Je toho este viac ale myslim si ze toto pre zaciatok staci. Feel free to comment.