OSG Hosted CE 容器镜像文档

1. 镜像概述和主要用途

OSG Hosted CE（Open Science Grid Hosted Compute Element）容器镜像是基于Docker构建的OSG计算元素（CE）部署方案，旨在简化OSG网格基础设施中计算节点的部署、配置与管理流程。该镜像封装了OSG CE的核心组件，提供标准化的作业接收、调度与执行环境，支持与OSG全球分布式科研计算基础设施无缝集成。

主要用途：作为OSG网格的关键中间件，用于接收、验证和转发科研计算作业至本地计算资源（如集群、服务器），实现跨机构的计算资源共享与协同，适用于参与OSG的科研机构、大学及实验室提供标准化计算服务。

2. 核心功能和特性

2.1 核心功能

• OSG网格集成：与OSG信息服务（Information Services）、资源管理系统（Resource Management）及身份认证体系深度集成，符合OSG CE规范。
• 作业生命周期管理：支持作业接收、验证、优先级排序、提交至本地资源及状态追踪，兼容OSG标准作业类型（如PBS、Slurm、Condor）。
• 安全认证与授权：集成GSI（Grid Security Infrastructure）安全框架，支持X.509证书认证、VO（Virtual Organization）授权及策略管控。
• 监控与日志：内置作业 metrics 采集与日志记录功能，支持与OSG监控工具（如Grafana、Prometheus）对接。

2.2 特性

• 容器化部署：基于Docker实现环境隔离，简化依赖管理，支持快速部署与版本迭代。
• 配置灵活性：通过环境变量、配置文件挂载及命令行参数实现多场景定制，适配不同规模的计算资源。
• 高可用性：支持多实例部署与负载均衡，配合外部存储实现配置与数据持久化。
• 轻量级设计：优化镜像体积，基于Alpine或CentOS Slim构建，降低资源占用。

3. 使用场景和适用范围

3.1 典型使用场景

• 科研机构计算节点部署：大学、国家实验室等机构部署CE节点，加入OSG网格并贡献本地计算资源。
• 跨机构资源共享：通过OSG Hosted CE实现机构间计算资源的标准化共享，支持多VO协作科研项目。
• 临时计算集群扩展：在科研项目高峰期，通过容器快速部署临时CE节点，扩展计算能力。
• OSG合规性测试：开发或测试环境中模拟OSG CE节点，验证作业提交流程与策略配置。

3.2 适用范围

• 参与OSG联盟并提供计算资源的组织或机构。
• 需要标准化对接OSG网格的本地集群管理员。
• 开展分布式科研计算且依赖OSG基础设施的研究团队。
• 需快速部署/迁移OSG CE节点的IT运维团队。

4. 使用方法和配置说明

4.1 前提条件

• 运行环境：Docker Engine 20.10+ 或 Podman 3.0+；Docker Compose 2.0+（可选，用于多容器管理）。
• 网络要求：开放TCP端口8443（CE服务端口），允许与OSG信息服务（如topology.opensciencegrid.org）、认证服务（如IGTF CA服务器）及本地计算资源通信。
• OSG账户：需在OSG注册站点（Site）并获取站点名称（Site Name）、资源ID等认证信息（联系OSG运维团队获取）。
• 证书与密钥：需准备OSG签发的主机证书（Host Certificate）及私钥，用于GSI认证（通常为.pem格式）。

4.2 获取镜像

通过OSG***容器仓库获取最新镜像：

bash
docker pull osgregistry.io/osg-hosted-ce:latest

注：可指定版本标签（如2.1.0）替代latest以确保环境一致性。

4.3 基本使用（docker run）

4.3.1 最小化启动命令

bash
docker run -d \
  --name osg-ce \
  -p 8443:8443 \
  -e OSG_SITE_NAME="MyUniversity-Site" \
  -e CE_HOSTNAME="ce.myuniversity.edu" \
  -e SECURITY_CONTACT="***" \
  -v /path/to/host-cert.pem:/etc/grid-security/hostcert.pem:ro \
  -v /path/to/host-key.pem:/etc/grid-security/hostkey.pem:ro \
  osgregistry.io/osg-hosted-ce:latest

4.3.2 参数说明

• -p 8443:8443：映射容器内CE服务端口至主机。
• -v /path/to/host-cert.pem:/etc/grid-security/hostcert.pem:ro：挂载主机证书（只读）。
• -v /path/to/host-key.pem:/etc/grid-security/hostkey.pem:ro：挂载主机私钥（只读）。
• 环境变量：指定站点名称、主机名及安全联系人（均为OSG注册必填项）。

4.4 Docker Compose 配置

创建docker-compose.yml实现多容器协同（如搭配日志收集、监控工具）：

yaml
version: '3.8'

services:
  osg-ce:
    image: osgregistry.io/osg-hosted-ce:latest
    container_name: osg-ce
    restart: unless-stopped
    ports:
      - "8443:8443"
    environment:
      OSG_SITE_NAME: "MyUniversity-Site"       # OSG注册站点名称（必填）
      CE_HOSTNAME: "ce.myuniversity.edu"       # CE节点主机名（需与证书一致，必填）
      SECURITY_CONTACT: "***"  # 安全联系人***（必填）
      LOG_LEVEL: "INFO"                        # 日志级别（可选，默认INFO）
      LOCAL_RESOURCE_MANAGER: "slurm"          # 本地资源管理器类型（可选，默认slurm）
      MAX_JOBS: "1000"                         # 最大并发作业数（可选，默认500）
    volumes:
      - ./host-cert.pem:/etc/grid-security/hostcert.pem:ro
      - ./host-key.pem:/etc/grid-security/hostkey.pem:ro
      - ./config:/etc/osg-ce                   # 自定义配置文件挂载（覆盖默认）
      - osg-data:/var/lib/osg-ce               # 持久化作业数据与状态
      - osg-logs:/var/log/osg-ce               # 持久化日志
    networks:
      - osg-network

volumes:
  osg-data:
  osg-logs:

networks:
  osg-network:
    driver: bridge

启动服务：

bash
docker-compose up -d

4.5 环境变量说明

4.6 配置文件挂载

如需自定义CE行为（如作业策略、资源限制、VO授权），可将本地配置目录挂载至容器/etc/osg-ce，覆盖默认配置。常用配置文件包括：

• ce-config.ini：CE核心配置（作业队列、优先级策略）。
• resource-mapping.conf：本地资源与OSG资源的映射规则。
• vo-authorization.conf：VO访问权限控制策略。

示例：

bash
# 本地创建配置目录并添加自定义文件
mkdir -p ./config && vim ./config/ce-config.ini

# 启动时挂载
docker run -v ./config:/etc/osg-ce ...

4.7 网络配置

• 端口映射：默认暴露8443端口（CE服务），需根据宿主机端口占用情况调整映射（如-p 8080:8443）。
• 防火墙规则：允许宿主机8443端口入站流量，并确保与OSG信息服务（topology.opensciencegrid.org，TCP 443）、本地资源管理器（如Slurm的6817端口）通信。
• DNS配置：容器需解析OSG域名及本地资源主机名，建议使用宿主机DNS或指定--dns参数（如--dns 8.8.8.8）。

4.8 持久化存储

为避免容器重启导致配置、作业数据及日志丢失，需挂载以下目录：

• 配置文件：/etc/osg-ce（本地目录挂载，如-v ./config:/etc/osg-ce）。
• 作业数据：/var/lib/osg-ce（存储作业元数据、状态文件，建议使用Docker Volume）。
• 日志：/var/log/osg-ce（CE运行日志，建议挂载至宿主机或日志收集系统）。

5. 常见问题和故障排除

5.1 容器启动失败

• 排查步骤：检查环境变量是否齐全（尤其是OSG_SITE_NAME、CE_HOSTNAME），证书文件权限是否正确（容器内需可读，权限建议600）。
• 日志定位：通过docker logs osg-ce查看启动日志，重点关注ERROR级别的安全认证或配置加载错误。

5.2 作业提交失败

• 可能原因：本地资源管理器（如Slurm）未运行或配置错误；CE与资源管理器网络不通；VO授权策略限制。
• 解决方法：验证resource-mapping.conf中资源管理器地址是否正确；检查容器与本地集群的网络连通性；查看vo-authorization.conf确认用户VO是否被授权。

5.3 认证错误（GSI Failure）

• 可能原因：主机证书过期或与CE_HOSTNAME不匹配；IGTF CA证书未更新。
• 解决方法：从OSG获取最新主机证书；挂载更新的CA证书目录（-v ./igtf-ca:/etc/grid-security/certificates）。

6. 相关资源

• OSG*文档**：OSG Hosted CE Deployment Guide
• 容器镜像仓库：OSG Container Registry
• OSG支持：OSG Helpdesk
• Docker*文档**：Docker Engine Installation