Workshop di CCR: 24 - 28 maggio 2021 (modalità telematica)

24 May 2021, 08:30 → 28 May 2021, 18:00 Europe/Rome

Via telematica

Claudio Grandi (BO)

Monday, 24 May

09:00 → 09:10 Saluti e apertura dei lavori

Speaker: Claudio Grandi (BO)

09:10 → 13:00 Servizi ICT: Servizi ICT - lunedì

09:10 Report del Sistema Informativo

Report del Sistema Informativo

Speaker: Roberto Gomezel (TS)

sistema-informativo2021-WSCCR.pptx

09:40 I Servizi Nazionali della CCR

Report del gruppo SSNN

Speaker: Stefano Longo (CNAF)

SSNN_24_05_2021.pdf

10:10 Nuovi strumenti di sviluppo del sistema informativo

L'evoluzione tecnica dell'ultimo decennio ha generato un altissimo numero di linguaggi, framework e strumenti in competizione fra loro, rendendo complesso lo scouting tecnologico e la gestione del debito tecnico. Al contrario, però, l'apporto dei principali player commerciali (Google, Facebook, Twitter, Netflix) ha focalizzato l'attenzione su pochi strumenti, sufficientemente generici da essere adottati in un ampio spettro di casistiche.

Anche nel sistema informativo è stato deciso di adottare la stessa strategia, in modo che sia più agevole, in futuro, la selezione del personale, l'esternalizzazione dei progetti, la gestione delle evolutive e l'organizzazione del lavoro in generale.

Stiamo investendo alcuni mesi nella creazione di metodologie e strumenti che siano un patrimonio comune che faciliti non solo lo sviluppo di nuovi prodotti ma, soprattutto, la massiva riscrittura di applicazioni obsolete. Ci siamo concentrati in primis sulla qualità e sull'agevolezza nell'adeguarci a future necessità, curando gli aspetti di adeguamento alle linee guida AGID e alla normativa nazionale.

Le soluzioni che adotteremo riguardano tutti gli aspetti dello sviluppo e gestione del software: layout delle UI, template per lo sviluppo di backend, archivio della documentazione, catalogo delle applicazioni, registro delle API ed altro ancora.

Speaker: Emanuele Turella (Istituto Nazionale di Fisica Nucleare)

20210524 turella - ws ccr 2021 v2.pdf

10:30 SPID e CIE in AAI

Gruppo AAI

Speaker: Dr Enrico Maria Vincenzo Fasanelli (LE)

SPiD e CIE.pdf

10:50 Coffe break

11:20 Una possibile soluzione per l’analisi di sicurezza all-in-one

In seguito all’evoluzione delle linee guida di sicurezza delle informazioni, anche in ambito ricerca, diviene estremamente utile dotarsi di uno strumento per il monitoring, l’analisi e la correlazione di eventi di sicurezza, a supporto della difesa attiva, della compliance e dell’analisi forense. Grandi quantità di dati prodotti dai sistemi di log, dai firewall perimetrali, dalle sonde IDS e dai sistemi EDR sono spesso inutilizzati fino all’evento negativo. Esistono strumenti per l’analisi e la correlazione real-time degli eventi di sicurezza sia opensource che commerciali.

Lo scopo di questo talk è mostrare l’esperienza maturata nell’utilizzo di un sistema basato su OSSIM oggi sviluppato da AT&T chiamato AlienVault-OSSIM. Attraverso una rete di sonde e motori di correlazione AlienVault-OSSIM è in grado di realizzare molte delle funzionalita’ richieste da un moderno sistema di analisi di sicurezza, tra le quali:

Asset discovery: Active & Passive Network scanning, Asset Inventory, Software Inventory
Vulnerability Assessment: Continuos vulnerability monitoring ( authenticated/unauthenticated), active scanning, remediation verification
Intrusion detection: Network IDS, Host IDS, File integrity monitoring
Behavioral monitoring: NetFlow analysis, Service availability
SIEM: Log Management, Open Threat eXchange data, event correlation, incident response.

Esiste una versione community-free facilmente gestibile sia via dashboard web che via API e CLI.

Speaker: Gianluca Peco (BO)

ossim-v2.pdf

ossim-v2.pptx

11:40 Greenbone Vulnerability Management + SCANBOT

Nell'ambito dell'attivita' del gruppo security/auditing e' stato scelto di sostituire il software proprietario per le scansioni di vulnerabilita' Tenable Nessus (utilizzato fino a fine 2019) con il software opensource Greenbone Vulnerability Management (GVM) noto spesso come OpenVAS (OpenVAS e' solo una parte della piattaforma GVM).

Invece di utilizzare distribuzioni o macchine virtuali preconfigurate che avessero gia' disponibile una versione di GVM e' stata creata una procedura di installazione da sorgenti che permette di svincolarsi dai cicli di vita delle distribuzioni o da configurazioni preconfezionate.

E' stata quindi creata una procedura di installazione automatizzata che scarica i sorgenti, installa tutto il software necessario a soddisfare le dipendenze, compila ed installa GVM.

Questa procedura puo', per esempio, essere utilizzata dai Servizi Calcolo delle varie Sedi che abbiano bisogno di installare in modo molto semplice e veloce uno strumento opensource per effettuare scansioni di vulnerabilita' nelle proprie reti.

GVM dispone di un'interfaccia web per configurare e gestire le scansioni e per esportare i risultati in formati standard.

Per automatizzare e gestire in modo piu' semplice scansioni su un elevato numero di IP e' stato anche sviluppato un software di gestione delle scansioni GVM completamente da riga di comando: SCANBOT.

Una volta configurato uno o piu' server con GVM (scan-server), tramite SCANBOT si possono controllare tutti gli scan-server da un'unica console.
Si puo':
- definire i target (gli ip e/o le reti) su cui effetturare le scansioni;
- definire i parametri delle scansioni (porte e test da usare);
- definire i task (target + parametri di scansione) cioe' le scansioni vere e proprie;
- distribuire i task fra gli scan-server in base al carico di lavoro, cioe' assegnare i task agli scan-server piu' scarichi;
- controllare lo stato di avanzamento dei vari task sui vari scan-server;
- controllare il completamento di tutte le operazioni di scansione dei vari task sui vari scan-server;
- esportare e scaricare tutti i risultati delle scansioni in formati standard (txt, xml, pdf) sulla macchina dove e' presente scanbot organizzando i file esportati in una struttura ad albero opportuna;
- cancellare i report, i task ed i target dagli scan-server.

SCANBOT e' scritto in python3 e puo' essere facilmente interfacciato ad altri software.

Per esempio, alla Sezione di Firenze, SCANBOT e' interfacciato al sistema di ticket RT (Request-tracker) per informare gli utenti dei risultati delle scansioni sui loro IP e gestire le fasi di soluzioni dei problemi all'interno del sistema di ticket del Servizio Calcolo e Reti.

Speaker: Leandro Lanzi (INFN-FI)

lanzi-gvm_scanbot.pdf

12:00 Captive portale OPNSense

Si intende illustrare il lavoro dal gruppo di Calcolo e Reti della sezione di Bologna relativamente alla configurazione di un nuovo captive portal per l’autenticazione e l’accesso alla WiFi INFN-Web.

L’obiettivo principale era quello di sostituire il vecchio sistema, basato su Tino non più sopportato.

Nella valutazione di un nuovo captive portal un’attenzione particolare è stata data alla possibilità di utilizzare un backend LDAP per AuthN/AuthZ.
Il fatto di potersi avvantaggiare del sistema di SSO nazionale e delle nuove funzionalità per la registrazione delle identità digitali e accettazione del disciplinare, è stata ritenuta di estrema utilità.

Il nuovo portale doveva, pertanto, garantire l’utilizzo dei seguenti sistemi di autenticazione:

• db locale
• LDAP (nel nostro caso LDAP nazionale)
• emissione di credenziali tramite voucher (utili per convegni e conferenze).

La nostra scelta è ricaduta su un captive portal basato su OPNSense.
OPNSense ha una semplice gestione via web dashboard, rispetta tutti i requirement ed ben si integra con un backend LDAP, è possibile definire query LDAP personalizzate per le autorizzazioni di accesso.

OPNSense, rispetto ad altri sistemi simili, permette un’autenticazione a più fattori (potrebbe essere utilizzata in futuro), controlli IDS/IPS, controllo AV, monitoring e regole di firewall personalizzabili.

Speaker: Antonella Monducci (BO)

OPNSense.pdf

12:20 Efficacia probatoria dei log

L’acquisizione dei file di log con marcatura temporale, si inquadra nelle problematiche giuridiche connesse alla raccolta e conservazione delle Digital Evidence (DE).

La disciplina delle DE è stata introdotta dalla Convenzione del consiglio d’Europa sulla criminalità informatica ratificata nel nostro ordinamento giuridico con legge 48/2008.

La novella codicistica, seguita all’adattamento al diritto internazionale ha introdotto, nel nostro ordinamento, il ricorso a best practices di settore, tra queste primario rilievo assume lo standard ISO/IEC27037 “Information technology Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence”, che si pone quale linea guida nell’identificazione del processo volto a mantenere l’integrità delle prove digitali identificando una metodologia che possa ritenersi adeguata affinché le stesse possano essere giudicate ammissibili in sede giudiziaria.

Alla base della gestione delle prove digitali, sono posti quattro postulati: verificabilità, Ripetitività, Riproducibilità, Giustificabilità. Questi aspetti mirano ad affrontare i quattro nodi problematici delle prove digitali che sono riassumibili in: immaterialità, dispersione, promiscuità e congenita modificabilità.

Nel presente lavoro verranno illustrate alcune possibili soluzioni tecniche, valutando di ciascuna l'efficacia, i costi, le difficoltà implementative dal punto di vista tecnico, operativo e giuridico.

L’analisi delle soluzioni tecniche che potrebbero essere implementate sarà informata al quadro normativo ad oggi vigente, ivi compreso il D.lgs. n. 82 del 2005 Codice dell’Amministrazione Digitale (CAD), alle linee guida AGID sulla conservazione dei documenti informatici, il Regolamento eIDAS n. 910/2014 e il GDPR Reg. UE 2016/679, nonché alla giurisprudenza recente.

Speakers: Vincenzo Spinoso (BA), Vincenzo Ciaschini (CNAF), Nadina Foggetti

Presentazione CCR_2021.pdf

12:40 Un dominio a norma di legge e a prova di pandemia

Nel 2018, il Regolamento Generale sulla Protezione dei dati ha reso indispensabile ripensare la gestione dei dati personali degli utenti: improvvisamente era tassativo aggiornare o smantellare intere infrastrutture contenenti dati sensibili. Nel 2020, una pandemia ha costretto a modificare la routine del mondo intero, rendendo urgente e obbligatorio per tutti lavorare da remoto.
Un riassunto delle modifiche degli ultimi anni ai computer Windows per i Servizi di Amministrazione e Direzione della Sezione di Pisa: il passaggio da un dominio antiquato con una sola macchina Windows Server 2003 a una nuova infrastruttura a norma GDPR con due Domain Controller Windows Server 2016 e la sua successiva trasformazione in struttura ottimale per il lavoro agile, ovvero:
-come si è passati da un'organizzazione poco strutturata ad una centrata sul dato e sui processi ad esso correlati;
-come la nuova infrastruttura ha permesso di passare da una postazione di lavoro ufficio-centrica ad una postazione completamente delocalizzata aumentando la flessibilità lavorativa del personale.

Speaker: Gabriele Lo Re (PI)

Un dominio a norma di legge e a prova di pandemia.pdf

13:00 → 14:30 Pausa pranzo

14:30 → 16:30 Servizi ICT: Pomeriggio lunedì

14:30 Open source security appliance: analisi di tre piattaforme e applicazioni realizzate

Il talk si pone come obbiettivo l’analisi ed il confronto qualitativo delle funzionalità offerte da tre tra i numerosi prodotti disponibili per la realizzazione di appliance di sicurezza basate su software opensource: OPNsense/pfsense,OpenWrt e Zeroshell. La progressiva microsegmentazione della rete (non solo in cloud) e la conseguente necessità di distribuire anche lo strato di sicurezza, tradizionalmente relegato al perimetro (firewall perimetrali e DMZ), ci spinge a prendere in considerazione la sicurezza del singolo host o del singolo gruppo di dispositivi (zero trust security). Questa transizione richiede un’attenta analisi economica sia delle risorse hardware e software che delle risorse umane e delle skill necessarie. Faremo qualche considerazione sulle performance nell’ottica di un confronto con dispositivi equivalenti commerciali. Vedremo infine alcune applicazioni già utilizzate sul campo.

Speaker: Gianluca Peco (BO)

opnsense-v2.pdf

opnsense-v2.pptx

14:50 SCAN-INFN

Nell'ambito dell'attivita' delle scansioni di vulnerabilita' effettuate regolarmente dal gruppo security/auditing su tutti gli IP pubblici della rete INFN e' stato scelto di sostituire il software proprietario per le scansioni di vulnerabilita' Tenable Nessus (utilizzato fino a fine 2019) con il software opensource Greenbone Vulnerability Management (GVM) noto spesso come OpenVAS (OpenVAS e' solo una parte della piattaforma GVM).

GVM e' stato installato su 9 differenti server (scan-server), 4 al CNAF e 5 alla Sezione di Firenze, ma il numero puo' crescere senza problemi magari coinvolgendo altre Sedi.

L'uso di 9 differenti scan-server dislocati in piu' sedi permette:
1) di bilanciare il carico delle scansioni fra i vari scan-server,
2) di ridurre i tempi per compiere scansioni a tappeto su tutti gli IP pubblici della rete INFN,
3) di effettuare sempre scansioni dall'esterno della rete a cui appartiene l'IP passato a scansione (Firenze scansiona gli IP della rete del CNAF e viceversa, tutti gli altri IP saranno assegnati in modo casuale ad entrambe le sedi).

Tutto questo si realizza tramite una console centralizzata (vedi talk dal titolo "Greenbone Vulnerability Management + SCANBOT") che bilancia il carico delle scansioni fra i vari server e impedisce che un certo scan-server esegua scansioni su IP appartenenti alla propria rete.

Al completamento delle scansioni i dati sono esportati in formati standard ed importati in un unico database.

I risultati delle scansioni sono consultabili dagli utenti che hanno diritto a visionare tali dati tramite un'interfaccia web.

Questa interfaccia web permette anche di assegnare e gestire in modo molto specifico il diritto di visionare i risultati delle scansioni ai vari utenti che si autenticano tramite INFN-AAI.

E' previsto di assegnare questi diritti di accesso ai dati raggruppando gli utenti sia per Sede di appartenenza che per gruppi di ip e/o reti che possono esser definiti in modo trasversale alle Sedi INFN.

Speaker: Leandro Lanzi (INFN-FI)

lanzi-scan_infn.pdf

15:10 Politica filtri perimetrali di sezione

Abstract

Speaker: Luca Giovanni Carbone (MIB)

PFP.pdf

15:30 Tavola rotonda

Sicurezza della rete: dai filtri perimetrali a...?

Tuesday, 25 May

09:00 → 10:55 Servizi ICT: Servizi ICT - martedì

09:00 Configuration Management in ambiente Windows

Presentiamo il lavoro svolto dal gruppo di Calcolo e Reti della sezione di Bologna sul tema del configuration management (CM) in ambiente Windows.

L’obiettivo è quello di ottimizzare la gestione di desktop/portatili assegnati al personale amministrativo (GA), sui quali gli utenti non hanno i privilegi amministrativi e spesso anche il semplice aggiornamento di un browser non è immediato e prevede l’interazione con il personale del servizio calcolo.

Abbiamo deciso di estendere il sistema Foreman/Puppet esistente. Per l’installazione degli applicativi, abbiamo scelto il tool Chocolatey per quelli presenti nel repository e che ben si integra con Puppet. Abbiamo installato un repository locale come cache del repository Chocolatey di comunità e per pubblicare applicativi opportunamente pacchettizzati internamente, basato sul tool Nexus Repository Manager (NXRM) 3. Ove possibile sono stati utilizzati moduli Puppet dal repository Puppet Forge e sono state sviluppate classi a seconda delle necessità.

Dopo alcuni mesi di utilizzo, riteniamo che questo modello stia dimostrando numerosi benefici, in particolare:

• Semplifica il lavoro del servizio calcolo sia sui dispositivi GA che
  TS
• Assicura l’aggiornamento degli applicativi in tempi estremamente
  rapidi
• Assicura che gli applicativi gestiti siano allineati sia a
  livello di versione software che di file di configurazione

Come ulteriori sviluppi, abbiamo deciso di approfondire il tema del CM in ambiente Windows e l’utilizzo di VDI (Virtual Desktop Infrastructure) per i dispositivi GA.

Speaker: Paolo Veronesi (INFN-BOLOGNA)

Configuration.Management.Windows.pdf

09:20 SOL(a) - Piattaforma per la gestione della fase post-ordine

SOL(a) è una piattaforma web per la gestione della fase post-ordine.

Il software è stato sviluppato dal Servizio Calcolo e Reti della Sezione di Firenze per soddisfare le richieste degli utenti, dell'Amministrazione della Sezione e del Magazzino per fornire un supporto informatico alla gestione di tutta la procedura successiva alla sottomissione degli ordini INFN nelle ORACLE APPLICATIONs del Sistema Informativo.

In altre parole la piattaforma gestisce tutte le fasi successive alla procedura d'acquisto gestita con la piattaforma "Ciclo Acquisti" del Sistema Informativo, che si conclude con l'invio dell'ordine al fornitore; gestisce quindi:
* l'importazione di tutti i dati contenuti nell'ordine registrato nelle ORACLE APPLICATIONS del Sistema Informativo ed in particolare di tutti i prodotti e delle quantità inserite nell'ordine;
* la registrazione dell'invio dell'ordine al fornitore;
* la registrazione della consegna degli ordini in magazzino (anche consegne parziali);
* l'assegnazione dei prodotti agli utenti;
* il ritiro dei prodotti in magazzino da parte degli utenti (anche ritiri parziali);
* il collaudo dei prodotti acquistati;
* il benestare al pagamento;
* la registrazione delle fatture;
* la registrazione dell'inserimento nell'inventario dei prodotti acquistati.

Il fatto di importare tutti i dati relativi all'ordine permette di gestire ogni aspetto della fase post-ordine con un minimo di carico di lavoro sia da parte dell'Amministrazione che del Magazzino che si trovano a gestire form web senza dover praticamente inserire nessun dato manualmente se non registrare le varie fasi del processo tramite menu a tendina e campi di spunta o opzioni predefinite.

L'autenticazione avviene tramite INFN-AAI.

Ogni utente visualizza solo gli ordini e i dati che lo riguardano e in ogni momento può caricare allegati, inserire note, inviare messaggi ad altri utenti.

Per ogni aggiornamento della situazione di un certo ordine gli utenti vengono avvertiti tramite e-mail delle operazioni che devono compiere sulla piattaforma per portare avanti la pratica.

Ogni pratica riporta tutti i dati dell'ordine, lo storico e la descrizione di tutte le operazioni compiute e tutti gli allegati.

La piattaforma si appoggia ad un server GNU/Linux con Apache2, ad un database PostrgreSQL e l'interfaccia è stata sviluppata in Python e Javascript.

Ogni dato presente nelle form di riepilogo può essere esportato in formato standard (csv) per poter essere utilizzato dall'Amministrazione per esempio in fogli di calcolo.

La piattaforma è in produzione presso la Sezione di Firenze da ottobre 2020.

Speaker: Mr Fabio Luccioletti (Istituto Nazionale di Fisica Nucleare)

luccioletti_sola.pdf

09:40 Armonizzazione Siti Web

Il gruppo di lavoro ASW si occupa di una analisi delle soluzioni grafiche e comunicative, e delle soluzioni tecnologiche implementative, finalizzata ad un ammodernamento dei siti web http://www.infn.it e http://www.ac.infn.it, e che potrebbero essere adottate anche per una revisione dei siti web istituzionali.
L'analisi copre anche le questioni legate alla normativa sulla accessibilita'.
Il talk proposto consiste in un aggiornamento delle attivita' del gruppo.

Speaker: Alessandro Brunengo (GE)

ASW_CCR-WS_2021-05-25.pdf

ASW_CCR-WS_2021-05-25.pptx

10:00 GARR Meet: il portale GARR di Audio e Video Conferenza

Speaker: Gianni Marzulli

Meet - CCR INFN 2021.pptx

10:20 Conclusioni

10:30 Pausa caffe'

10:55 → 13:00 Tecnologie ICT: Tecnologie ICT - martedì

10:55 La piattaforma COVIDSTAT

All'arrivo della pandemia, a fine Febbraio 2020, ho utilizzato, per pura curiosità i dati forniti dalla Protezione Civile per fare qualche plot indicativo della situazione in evoluzione. Dopo qualche giorno il Presidente Zoccoli ha istituito un gruppo di lavoro per l'analisi dei dati disponibili, includendomi nel gruppo per il mio lavoro pregresso. In questo modo è nato il sito covidStat di cui, in questa occasione presento storia e funzionalità.
Mi soffermerò poi sulla descrizione di alcuni dei grafici più interessanti che vengono prodotti automaticamente, senza alcun intervento umano, ogni giorno intorno alle 18. Si tratta di circa 8000 istogrammi generati quotidianamente per fornire al pubblico una visione sintetica e ragionata dell'evoluzione pandemica in Italia ed il confronto con parte del mondo.

Speaker: Dario Livio Menasce (MIB)

Video

12:00 Attivita' di Benmarking in HEPiX e WLCG

Gruppi di lavoro HEPiX e WLCG sono da anni interessati alla definizione, test e validazione di tools di benchmarking per la fisica delle altre energie (e oltre).
Da circa 10 anni il mondo HEP utilizza HepSpec06 come tool di benchmarking, utilizzato per la definizione delle necessita' degli esperimenti, per procurement e per l'accounting.
Hepscore e' stato recentemente individuato come possibile candidato per i prossimi anni; la sua caratteristica fondamentale e' l'uso di sw realistico dagli esperimenti per calcolare uno score. Lo stato attuale di comprensione di del benchmarking per HEP viene presentato, con le prospettive per i prossimi anni.

Speaker: Michele Michelotto (PD)

CCR-Workshop-20210525-michelotto.pdf

12:25 DELL - Dell view on Future Cooling Trends for HPC

Whilst the power delivery for HPC is pretty well defined & is probably close to its peak efficiency. Cooling of the HPC as a whole is rapidly changing.
Not only is the cooling infrastructure landscape changing, it is one area where significant energy savings can still be achieved. This is very important not only from a carbon usage perspective but also given the rapidly rising cost of energy. Any reductions in cooling costs can significantly reduce your HPC running costs.
This presentation looks to cover both the changes that are coming and also how you can future proof your data centre for your HPC.
Also anyone provisioning either new data centres or modifying existing ones needs to be aware of what the future will bring in order to provision the infrastructure that the new servers will need. This is being driven by the fact that whilst existing servers have used air cooling, air is no longer adequate to fully cool the new CPUs that are arriving in the near future. These new CPUs will be essential to provide the performance increases that HPC users are looking for.

Speaker: Jim Hearnden (DELL)

INFN CCR event HPC Cooling trends for the future V1.pptx

13:00 → 14:30 Pausa pranzo

Wednesday, 26 May

09:00 → 13:15 Infrastrutture ICT e calcolo distribuito: Infrastrutture ICT e calcolo distribuito - mercoledì

09:00 INFN Cloud: stato dell'infrastruttura

INFN-Cloud is an integrated and comprehensive cloud-based set of solutions, delivered through distributed and federated infrastructures. It provides a large and customizable set of services, ranging from simple IaaS to specialized SaaS solutions, centered through a PaaS layer built upon flexible authentication and authorization services offered via INDIGO-IAM, and optimized resources and services orchestration.

The INFN-Cloud architecture is designed to exploit highly heterogeneous cloud resources in terms of hardware (including CPUs, GPUs, low-latency networks and disks), cloud technologies (such as OpenStack, Mesos and Kubernetes), deployment models (supporting private and public clouds) and service delivery (supporting both generic and customized workloads).

This talk will give a general overview of the INFN-Cloud architecture and implementation, its current status and evolution. We will also provide information about accessing INFN Cloud services and the support system offered to the user communities.

Speakers: Doina Cristina Duma (CNAF), Stefano Stalio (LNGS)

INFN_Cloud_WS_CCR_2021_v1.pdf

09:20 INFN Cloud: monitoring and accounting services

INFN Cloud monitoring and accounting services have been designed to provide admins and users with a complete feedback on the status of the resources and how they are used. Monitoring checks have been implemented in different layers, from the low level of resource view of the overall status of the cloud federation, to the PaaS layer provided to the users. Additionally, a solution to provide the high-level overview of the services instantiated by the users is under evaluation and will be provided. Accounting provides information on how the resources are used by single users and groups. Both monitoring and accounting are provided through user-friendly web interfaces.

Speakers: Alessandro Costantini (CNAF), Vincenzo Spinoso (BA)

INFN_Cloud_MON-ACC_WS_CCR_2021_v1.pdf

09:40 INFN Cloud: servizi utenti

INFN-Cloud mette a disposizione un portafoglio di servizi pronti all'utilizzo. Il sistema è pensato per essere estendibile e modificabile al fine di accomodare le esigenze degli utenti e degli esperimenti. Verrà presentata una overview del portafoglio e della modalità di istanziazione on-demand dei servizi già disponibili. Infine verrà mostrato come poter evolvere un servizio per soddisfare requisiti specifici.

Speaker: Diego Ciangottini (INFN Perugia)

CCR-2021-use cases (3).pdf

INFN Cloud user

10:00 CloudVeneto joins the INFN-Cloud federation

CloudVeneto is an OpenStack-based scientific cloud with resources spread across two different sites: INFN Padova Unit and the INFN Legnaro National Laboratories. Funded throughout the years by these two INFN local units and ten University of Padova departments, this infrastructure nowadays supports a broad range of scientific and engineering disciplines involving about 330 users distributed in 80 projects. Its hardware resources provide around 3000 computational cores, 20 GPGPU cards, 12 TB of RAM and 700 TB of storage.
CloudVeneto basically implements a IaaS (Infrastructure as a Service) service model, allowing users to create instances sized, customized and configured for their specific use cases. However users are also provided with some higher level services, such as scalable batch systems and kubernetes clusters, eventually enriched with a set of services for big data analytics.
During 2020 the CloudVeneto team put a significant effort to integrate part of their resources with the INFN-Cloud federated infrastructure, which was opened to INFN users in March 2021. This integration has several advantages: ability to provide CloudVeneto users with the high level services of the INFN-Cloud marketplace; to demonstrate that CloudVeneto can provide resource capacity to different INFN user communities in “cloud mode”, as Tier-2s do since decades in “grid mode”; to stay aligned with best practice management of large infrastructures; possibility to participate to national and european projects as INFN-Cloud compliant resource provider.
The presentation will describe the technical steps carried out to implement such integration.

Speaker: Massimo Sgaravatto (PD)

CloudVeneto-sgaravatto.pdf

10:25 What’s new in the INDIGO PaaS

This contribution provides an overview of the new features that have been introduced in the INDIGO PaaS orchestration system through the developments carried out in the most recent H2020 projects such as DEEP-HybridDatacloud, eXtreme-Datacloud and EOSC-Hub, and that today are exploited in the INFN Cloud project.
The INDIGO PaaS is a middleware that allows to federate distributed computing and storage resources using a TOSCA-based orchestration system.
Among the new features there’s the possibility of deploying virtual computing environments (based on VM or container) with GPUs; the management of failures and timeouts has been improved; user management has been revised, introducing greater control over roles (regular user / admin). Another important update concerns the support for multi-tenancy and the integration with multiple authentication systems based on OpenID-Connect (in particular INDIGO-IAM and EGI-Checkin) to facilitate the adoption in different contexts, from INFN Cloud to EGI Federated Cloud. Moreover, it is now possible to federate not only private cloud infrastructures, such as Openstack, and public clouds such as Amazon AWS, and Mesos clusters, but also Kubernetes clusters: a plugin has in fact been added to manage Helm chart deployments. Finally, a web dashboard has been developed that greatly simplifies the user interaction with the PaaS services.

Speaker: Marica Antonacci (BA)

INDIGO_PaaS_antonacci.pdf

10:55 Coffee Break

11:15 IDDLS - A prototype for the Italian Distributed Data Lake for Science

The IDDLS project is configured as an INFN-GARR collaboration aimed at investigating and testing high bandwidth programmable networking technologies for the direct interconnection of INFN datacenters. The project is jointly funded by the INFN-CSN5 and GARR. The final goal is to implement a prototype of a single entry-point federated storage infrastructure, or Data Lake, to serve the High Energy Physics experiments and other collaborations accessing the INFN computing infrastructures. The CNAF Tier1 and some of the INFN Tier2s are involved as resource providers. The middleware/software layer to create the Data Lake is based on scalable storage federations technologies such as RUCIO, DYNAEED, XROOTD. Once the prototype will be created, real-life use cases for performance testing will be provided by CMS, ATLAS, BELLE-II and possibly some LNGS experiments in a second phase. In this talk we present the status of the prototype and the technologies that have been selected for its implementation.

Speaker: Daniele Cesini (CNAF)

IDDLS_May_2021.pdf

11:45 La European Open Science Cloud: come interconnettere risorse e servizi

Nella presentazione verrà descritta la EOSC, i principali progetti implementativi del programma Horizon 2020 in cui è stato o è coinvolto l'INFN, la EOSC Association e le modalità per connettere risorse e servizi.

Speaker: Luciano Gaido (TO)

EOSC-progetti-INFN-WSCCR2021.pdf

12:25 Operational Intelligence: distributed computing operations towards the HL-LHC era

Operational Intelligence (OpInt) is a cross-experiment project aiming to reduce the cost of computing operations for HEP experiments. The heterogeneous nature of distributed computing systems calls for advanced intelligent monitoring and requires a non-negligible amount of human interventions and expertise in order to spot in advance symptoms of potential misbehaviours and possibly to troubleshoot operational issues. The OpInt initiative exploits state-of-the-art techniques to optimise operations and facilitate their execution by minimising human interventions. Most operational tasks involve repetitive actions -- such as gathering and sorting monitoring information from various subsystems, spotting problems, and escalating to the experts -- that would enormously benefit from automation thanks to adaptive systems. Anomaly detection in time series, log text analysis using Natural Language Processing (NLP), smart alert systems, and clustering techniques are examples of techniques exploited to help operators in their daily routines, and to improve the overall system efficiency and resource utilisation. We report on the latest developments and activities in the context of this project, and discuss the road map for increasing automation levels towards operation in the HL-LHC (High Luminosity LHC) era.

Speaker: Federica Legger (TO)

CCR2021 - OpInt(1).pdf

13:00 → 14:30 Pausa pranzo

Thursday, 27 May

09:00 → 13:00 Tecnologie ICT: Tecnologie ICT - giovedì

09:00 LHCOPN/LHCONE

Stato delle reti WLCG

Speaker: Edoardo Martelli

WLCG-20210527-INFN-CCR-LHCOPNE-status.pdf

09:30 Data Center Network dalla LAN alla WAN

Complice la nascita dei sistemi di virtualizzazione, prima, e containerizzazione, dopo, le applicazioni hanno subìto un processo di rivisitazione architetturale, cha ha portato gli sviluppatori ad abbandonare il modello monolitico, in favore di un modello di sviluppo disaggregato ed a micro servizi. Questa rivoluzione ha modificato in maniera importante gli equilibri di traffico all'interno delle reti dei Data Center, portando immediatamente alla luce i limiti, in questo nuovo contesto, del tradizionale modello di rete Ethernet Fabric . La soluzione? IP Fabric, il modello L3 based che meglio soddisfa le esigenze legate allo sviluppo delle applicazioni basate sul paradigma a micro servizi

Speaker: Giancarlo Viola (GARR)

Presentazione Viola (CCR 27.05.2021) - v0.pdf

09:50 GARR-T: stato, tempi e modi

Aggiornamento sull'evoluzione di rete GARR-T che sta passando dalla fase progettuale a quella realizzativa. In questa presentazione verranno illustrati lo stato del progetto, i modi e i tempi di realizzazione.

Speaker: Paolo Bolletta (GARR)

WS_CCR-GARR-T_stato_tempi_modi.pdf

10:10 Distributed filesystems (GPFS, CephFS and Lustre-ZFS) deployment on Kubernetes/Docker clusters

Nowadays Kubernetes has become a powerful tool to deploy and manage containerized applications. Modern datacenters need distributed filesystems to provide user applications with access to stored data on a large number of nodes. The possibility to mount a distributed filesystem and exploit its native application programming interfaces in a Docker container, combined with the advanced orchestration features provided by Kubernetes, may enhance flexibility in data management and installation, running and monitoring of transfer services, allowing the execution of dedicated services on different nodes, in isolated and automatically replicable environments, this way improving deployment efficiency and fail-safeness. The goal of this work is to demonstrate the feasibility of using Kubernetes and Docker to setup clients capable to access a distributed filesystem from existing clusters and to create clusters based on containerized servers. Although this is just a proof of concept, the effort has shown the possibility of using different types of distributed filesystems (GPFS, CephFS, Lustre-ZFS) with equally positive results. Read/write performances with these filesystem setups have been tested and compared to each other.

Speaker: Federico Fornari (CNAF)

CCR Distributed FS on K8s Clusters.pdf

10:30 Uso di HPC negli esperimenti

Gli esperimenti LHC, ma non solo, prevedono di avere accesso a risorse HPC nei prossimi anni, su esplicita richiesta degli enti finanziatori e in previsione di una ottimizzazione delle infrastrutture di calcolo nazionali e internazionali. In questo intervento mostreremo l'attuale stato dell'arte dei test e dei proof-of-concept di utilizzo, principalmente da parte dei grossi esperimenti a LHC. Una presentazione delle problematiche tipiche e delle soluzioni in via di sviluppo è evidenziata e discussa.

Speaker: Daniele Spiga (PG)

Uso di HPC negli esperimenti (1).pdf

11:00 Coffee break

11:30 Il progetto ML_INFN

Il progetto ML_INFN, sigla di CSN5, vuole aiutare i ricercatori dell'Ente ad avvicinarsi alle tecnologie Machine Learning, mediante la preparazione di una piattaforma hardware e software basata fu INFN-Cloud, di una Knowledge Base di conoscenza e di opportunita' di training. Il progetto, della durata di 3 anni, e' attivo da 18 mesi. Un report delle attivita' e delle risorse disponibili viene presentato,

Speaker: Tommaso Boccali (PI)

ML_INFN CCR Maggio 2021.pptx

11:50 A new method for geomorphological studies and territorial classification also using Machine Learning techniques

Processing high-resolution aerial images is key to territorial mapping and change detection analysis in hydro-geomorphological high-risk areas. Aiming this goals, an original photogrammetric workflow based on Structure from Motion (SfM) algorithm and on a Free Open-Source Software FOSS (MicMac, GDAL and Orfeo ToolBox libraries) has been developed in the context of Close to the Earth and RPASInAir projects. For this study two datasets made of 1139 and 2190 image sequences respectively were chosen. The images were captured exploiting UAVs (Unmanned Aerial Vehicles), very powerful tools which allow on-demand acquisition of high-resolution aerial images which turn to be very useful to identify and monitor active phenomena that results in topographic changes. The selected areas of interest are located along the hilly plain of the Basento river, in the Basilicata region of southeastern Italy.
The workflow optimization aims to extract the output (orthophotomosaic, point cloud and the Digital Surface Model (DSM) of the selected areas) minimizing the overall processing time at once. Very good results were obtained both using this new command configuration techinique based on FOSS and exploting the resources available at ReCaS-Bari data center. All the computing cluster configurations used for our study will be thoroughly presented.
The high quality of the image details can be used for territorial classification, extrapolating features useful to mitigate the hydro-geomorphological hazard, exploiting Machine Learning (ML) techniques. For this purpose several Neural Networks were trained using progressively more complex layer sequence configurations, and data augmentation methods. The ML results are given in terms of model accuracy and loss.

Speaker: Dr Giorgia Miniello (BA)

A new method for geomorphological studies and territorial classification also using Machine Learning techniques

12:10 Simulating the LHCb detector with Generative Adversarial Networks

During Run 2, the simulation of physics events at LHCb has taken about 80% of the distributed computing resources available to the experiment, with the majority of the computational cost (~90%) spent by Geant4. In Run 3, the upgraded detector will rely on a fully software trigger system, which will be able to provide datasets at least one order of magnitude larger. In order to match the increase of collected data, larger simulated samples and a strategy to speed-up their production will be an unavoidable evolution of the LHCb Computing Model. Replacing the detailed simulation of the radiation-matter interactions occurring within the detectors with a parametrization of the detector response may drastically reduce the cost of large simulated samples. Ultra-Fast Simulation needs lower computing resources, replacing Geant4 with (non)parametric models predicting directly the high-level response of the detector. Machine Learning techniques, and in particular Generative Adversarial Networks (GANs), have proved to be a promising class of Deep Learning algorithms to model the response of the Tracking, RICH, Calorimeter and Muon systems at LHCb. GANs rely on the simultaneous training of two deep neural networks and on a heavy hyperparameters tuning to obtain good models that can’t be carried out without the concurrent usage of multiple GPUs. We discuss the current state of these developments and the application of INFN Cloud to achieve a significant speed-up of the training phase.

Speaker: Matteo Barbetti (INFN Firenze)

Simulating the LHCb detector with GAN - WS CCR 27.05.2021.pdf

12:30 Machine learning in ALICE: status and perspectives

In the last years, the use of machine learning (ML) techniques has become a fundamental tool to cope with the huge amount of data produced at the Large Hadron Collider (LHC). In particular, machine learning and deep learning methods are employed in ALICE in a wide range of activities, from physics analyses to online data selections, detector calibrations and Monte Carlo simulations.

The variety of application domains is as large as the number of ML algorithms currently used, like, for example, Boosted Decision Trees, Deep Neural Networks and Generative Adversarial Networks. Moreover, the increasing interest in ML techniques leads consequently to a higher demand for dedicated computing resources. In this context, ALICE is also developing a common analysis framework based on ML for the next data taking period (Run 3). Within ALICE, the INFN community is strongly involved in many of these topics, focusing mostly on physics analyses in both the light and the heavy flavour sectors.

In this talk an overview of the main ALICE projects based on ML is given, highlighting the contribution of the INFN community.

Speaker: Francesco Mazzaschi (Istituto Nazionale di Fisica Nucleare)

mazzaschi_workshop_ccr.pdf

13:00 → 14:30 Pausa pranzo

Friday, 28 May

09:00 → 12:50 Esperimenti: Esperimenti - venerdì

09:00 WLCG

Attivita' WLCG

Speaker: Simone Campana

WLCG-CCR-2021.pptx

09:45 JUNO computing model

Il Jiangmen Underground Neutrino Observatory (JUNO) è un rivelatore sotterraneo a liquido scintillante da 20 kton in costruzione nel sud della Cina che si prevede inizi a prendere dati nel 2022. Il programma fisico di JUNO è mirato nell’esplorare le proprietà del neutrino usando gli anti-neutrini elettronici emessi da due centrali nucleari a circa 53 km di distanza. Con l’obiettivo di raggiungere per la prima volta una risoluzione di energia relativa del 3% ad 1 MeV, JUNO potrà studiare, tra l'altro, il fenomeno dell’oscillazione dei neutrini e determinare l’ordine di massa del neutrino con una significanza statistica di 3-4 sigma in 6 anni di presa dati. Questi obiettivi sono perseguiti da una grande collaborazione distribuita su 3 continenti. Quindi, un fattore chiave per la buona riuscita sarà decidere di avere una infrastruttura di calcolo distribuita (DCI) in grado di soddisfare le necessità di computing di JUNO. Ci si aspetta che JUNO produca non meno di 2 PB di dati per anno, da conservare in almeno 3 data center in Cina ed Europa. Le attività di analisi dei dati saranno distribuite in uno sforzo congiunto, principalmente basato su una collaborazione per il calcolo tra Cina ed Europa.

Speaker: Giuseppe Andronico (CT)

Andronico JUNO.pptx

10:05 CYGNO @ INFN - Cloud

The aim of the CYGNO project is to demonstrate the capability of a high resolution gaseous TPC based on sCMOS (scientific CMOS) optical readout for present and future directional Dark Matter searches at low WIMP masses (1-10 GeV) down to and beyond the Neutrino Floor.
CYGNO is a typical medium size astro-particle experiment that require a relative small amount of computing resources and for this reason can be subjected to a fragmentation and low utilisation rate. A typical use case that could exploit and benefit of all the features of a Cloud infrastructure. Moreover, the CYGNO experiment since the beginning started to use the cloud storage system, previously on SWIFT today on S3, where data are open and accessible from everywhere as soon as uploaded by the DAQ machines.
This demanded a container that can meet the experiment requirements, on which preliminary tests are ongoing. The container offers via JupiterHub the experiment environment in terms of authentication, data and software (ROOT, GEANT, GARFIELD++, libraries, ecc) realising a prototype of Software as a Service for data analysis and simulation with common tools of our community. Moreover, the container is generic and adaptable to different experiment environments.
The project and preliminary user experiences are presented.

Speaker: Giovanni Mazzitelli (LNF)

CYGNO@CLOUD_CCR.pdf

10:25 break

10:50 IGWN: VIRGO Computing Towards O4 and low latency computing for GW science

The three large Gravitational-Wave collaborations (Virgo in Europe, LIGO in the US and KAGRA in Japan) are joining their offline computing infrastructures in the International Gravitational-Wave observatories Network. At the same time, the low-latency alert generation infrastructure is being updated: event candidate alerts and their timely distribution are crucial assets for multimessenger astronomy. Several technological updates are being adopted in view of the fourth observation period, scheduled to start in 2022. The growing rate in detected signals, with the ongoing upgrades of existing interferometers and the third-generation facilities being proposed, will pose challenges for the future, in particular for the low-latency infrastructure.

We describe the requirements for O4, the planned architecture and the status of the ongoing activities, with also an outlook towards 3G observatories and their challenges.

Speaker: Sara Vallero (TO)

Virgo_CCR_Vallero.pdf

11:10 Computing in Belle II

L'esperimento Belle II è in data taking a partire dalla primavera del 2019. Ad oggi più di 2PB di dati sono stati raccolti presso il laboratorio giapponese di KEK e replicati a BNL in USA. A partire dal 2021 la seconda copia dei RAW data verrà distribuità in diversi paesi tra cui l'italia presso il CNAF.
Le sfide per l'implementazione del computing model sono molteplici e includono la gestione di una rete distribuita su larga scala, totalmente best effort e con ampie latenze, la gestione di storage distribuiti, il management di siti di varie dimensioni. L'italia ha un ruolo chiave, con il coordinamento delle infrastrutture e dell Computing Steering Group.
In questo talk verrà presentato il computing model di Belle II, lo stato di avanzamento, gli upgrade appena completati e i piani futuri, nonchè l'impatto e le opportunità per la comuntà Italiana nei prossimi anni.

Speaker: Silvio Pardi (NA)

CCR 2021-05-28 Belle-II.pdf

11:30 From AMS to HERD: status and exploration of CLOUD solutions for cosmic ray data analysis

The computing model of the AMS-02, DAMPE, and HERD Cosmic Ray experiments is designed to cope with several TB of ROOT files produced for every year of mission. Periodically the reprocessing of the full dataset is needed and, on a yearly basis, a massive MonteCarlo production of the various CR species must be run. For example, the data analysis is, typically, performed on reduced ntuples by tens of users. Both the data production and the data analysis for the AMS-02 experiment are run in the ~ 5 computing centers of the collaboration without any grid-like framework. In the last couple of years we started exploiting technical solutions provided by the "Dynamic On Demand Analysis Service" (DODAS) developed in the context of projects such as INDIGO-DataCloud, EOSC-hub, and XDC in order to seamlessly access cloud resources both commercial (Deutsche Telekom, Google-Cloud) and on premises (Cloud@ReCas, and Cloud@CNAF). The work is progressing toward a larger federation which includes many and different IaaS’s into a single DODAS provided pool of resources. A concrete example is the successful initiative to include AMS-02 compute resources hosted at ASI. The status of this activity will be shown including the experience and perspectives of the experiments both on computing and data handling.
Moreover future experiments, such as HERD, are exploring the possibility of a more seamlessly integrate data access and management combining well-known technologies such as IAM, XROOTD and Rucio, with the possibility of deploying the required services on INFN-Cloud resources. Current efforts on these activities will also be discussed.

Speaker: Valerio Formato (RM2)

From AMS to HERD.pdf

11:50 Evolution of ALICE computing: model for LHC Run 3 and 4 and analysis framework for Runs 2 and 3

The ALICE experiment is upgrading its hardware and software system during LHC Long Shutdown 2 in view of the next data taking periods, Run 3 and Run 4 , whose start is scheduled in 2022.

One of the main challenge of the ALICE experiment is the change of the data acquisition paradigm to continuous readout mode in order to cope with the high interaction rate expected in Pb-Pb collision, up to 50 kHz for a raw data rate from detectors of about 3.5 TB/s.

A new online-offline computing system, called O² (Online-Offline), has been developed to compress the data synchronously with the data taking on two online farms, FLP (First Level Processor) and EPN (Event Processing Node).

An asynchronous phase is also foreseen to reprocess the compressed raw data using the final calibration to produce the reconstruction output (AOD).

The new framework, implemented using the newly developed data processing layer (DPL) based on message passing among processes, was developed also to benefit of a high level of parallelization and to exploit heterogeneous architecture (GPU).

The ALICE computing model was fully redesigned in order to improve performances for all workflows; namely simulation, reconstruction and analysis.

The state of the art of the project will be presented, focusing on most recent updates.

Speaker: Matteo Concas (TO)

WCCR2805201_v5.pdf

12:10 CHNet cloud: an EOSC-based cloud for physical technologies applied to cultural heritages

In the framework of ARIADNEplus task NA4 and EOSC-Pillar working packages 6.5 and 6.9, a cloud system, dubbed Tools for HEritage Science Processing, Integration, and ANalysis (THESPIAN), was developed, which offers multiple microservices to the researchers of the Cultural Heritage Network (CHNet) of INFN, from storing their raw data to reuse them by following the FAIR principles for establishing integration and interoperability among shared information.

The CHNet cloud currently offers three web services: THESPIAN-Mask, a service for assisted metadata generation and data storage, based on an ad-hoc developed ontology called CRMhs; THESPIAN-NER, a tool based on a deep neural network for Named Entity Recognition, which can interpret Italian-written archeological documents and annotate them extracting named entities, that are used for devising custom CHNet database queries; and XRF analyser, a tool for on-line, real-time elaboration of raw data of X-Ray Fluorescence imaging analysis performed on Cultural Heritage.

The platforms have a modular architecture based on containers: the first one hosts a web server offering a graphical web application to input and search data and institutions; the second one is a server processing requests from the web application and interacting with the database deployed within a third container. In front of these a fourth container hosts a reverse proxy that acts as an SSL/TLS terminator and enforces access control policies through a token-based authorisation mechanism relying on the IAM service developed by the INDIGO project. The container architecture allows easy deployment of the whole cloud service. Also, the front-end part was developed using Angular with TypeScript, while the various Restful APIs are either written using Node.js and/or Django; the latter was chosen to easily embed the deep neural network developed with Python. To persist data storage, the NoSQL database MongoDB is employed.

The digital infrastructure, with all its services, is currently in the pre-production stage, where only a few researchers can access the system, mainly to test the digital infrastructure and web services, ingest preliminary data and check if the design of the system fits their needs. The system will be open to all the researchers of the network for further general tests and to ingest generic scientific data on cultural heritage; the orders of magnitude the system will handle are about O(100) data report per network’s node inserted in the beta testing phase, with O(10) nodes in the nodes, each of it consisting of O(10) researchers.

Speaker: Alessandro Bombini (Istituto Nazionale di Fisica Nucleare)

CHNet cloud: an EOSC-based cloud for physical technologies applied to cultural heritages

CHNet cloud_ an EOSC-based cloud for physical technologies applied to cultural heritages.pptx

12:30 Computing model of the DUNE Experiment

The Deep Underground Neutrino Experiment (DUNE) will deploy, over the period 2025-2028, a 40-kton liquid argon TPC detector 1.5 km underground at the Sanford Underground Research Facility. A new broadband high-intensity neutrino source and Near Detector complex will be located at Fermilab, 1300 kilometers away.

This arrangement and the long data-taking run expected from 2029 and beyond, will provide unprecedented sensitivity in the search for neutrino CP violation, determination of the neutrino mass ordering, and precision measurements of neutrino mixing parameters. The underground Far Detector also allows for low background, low threshold observations of supernova neutrinos, with a unique sensitivity to the electron neutrino flux. Further, DUNE will conduct a wide range of searches for physics beyond the Standard Model, including baryon number violation, rare scattering processes, and non-standard flavor transitions.

The DUNE "events", with a size ranging from 6 GBs to more than 100 TBs, for a ~30 PB of raw data per year, poses unique challenges for software and computing. In this contribution the status of the art of the data handling and the computing model of the experiment is described.

Speaker: Mr Matteo Tenti (INFN - BO)

ccr-2021-dune.pdf

ccr-2021-dune.pdf

12:50 → 13:00 Chiusura dei lavori

Convener: Claudio Grandi (BO)

13:00 → 14:30 Pausa pranzo