19215: Fixes IAM policy example.
[arvados.git] / doc / admin / metadata-vocabulary.html.textile.liquid
1 ---
2 layout: default
3 navsection: admin
4 title: Metadata vocabulary
5 ...
6
7 {% comment %}
8 Copyright (C) The Arvados Authors. All rights reserved.
9
10 SPDX-License-Identifier: CC-BY-SA-3.0
11 {% endcomment %}
12
13 Many Arvados objects (like collections and projects) can store metadata as properties that in turn can be used in searches allowing a flexible way of organizing data inside the system.
14
15 Arvados enables the site administrator to set up a formal metadata vocabulary definition so that users can select from predefined key/value pairs of properties, offering the possibility to add different terms for the same concept on clients' UI such as workbench2.
16
17 The Controller service loads and caches the configured vocabulary file in memory at startup time, exporting it on a particular endpoint. From time to time, it'll check for updates in the local copy and refresh its cache if validation passes.
18
19 h2. Configuration
20
21 The site administrator should place the JSON vocabulary file on the same host as the controller service and set up the config file as follows:
22
23 <notextile>
24 <pre><code>Cluster:
25   zzzzz:
26     API:
27       VocabularyPath: <span class="userinput">/etc/arvados/vocabulary.json</span>
28 </code></pre>
29 </notextile>
30
31 h2. Definition format
32
33 The JSON file describes the available keys and values and if the user is allowed to enter free text not defined by the vocabulary.
34
35 Keys and values are indexed by identifiers so that the concept of a term is preserved even if vocabulary labels are changed.
36
37 The following is an example of a vocabulary definition:
38
39 {% codeblock as json %}
40 {% include 'metadata_vocabulary_example' %}
41 {% endcodeblock %}
42
43 For clients to be able to query the vocabulary definition, a special endpoint is exposed on the @controller@ service: @/arvados/v1/vocabulary@. This endpoint doesn't require authentication and returns the vocabulary definition in JSON format.
44
45 If the @strict_tags@ flag at the root level is @true@, it will restrict the users from saving property keys other than the ones defined in the vocabulary. This restriction is enforced at the backend level to ensure consistency across different clients.
46
47 Inside the @tags@ member, IDs are defined (@IDTAGANIMALS@, @IDTAGCOMMENT@, @IDTAGIMPORTANCES@) and can have any format that the current application requires. Every key will declare at least a @labels@ list with zero or more label objects.
48
49 The @strict@ flag inside a tag definition operates the same as the @strict_tags@ root member, but at the individual tag level. When @strict@ is @true@, a tag’s value options are limited to those defined by the vocabulary.
50
51 The @values@ member is optional and is used to define valid key/label pairs when applicable. In the example above, @IDTAGCOMMENT@ allows open-ended text by only defining the tag's ID and labels and leaving out @values@.
52
53 When any key or value has more than one label option, Workbench2's user interface will allow the user to select any of the options. But because only the IDs are saved in the system, when the property is displayed in the user interface, the label shown will be the first of each group defined in the vocabulary file. For example, the user could select the property key @Species@ and @Homo sapiens@ as its value, but the user interface will display it as @Animal: Human@ because those labels are the first in the vocabulary definition.
54
55 Internally, Workbench2 uses the IDs to do property based searches, so if the user searches by @Animal: Human@ or @Species: Homo sapiens@, both will return the same results.
56
57 h2. Definition validation
58
59 Because the vocabulary definition is prone to syntax or logical errors, the @controller@ service needs to do some validation before answering requests. If the vocabulary validation fails, the service won't start.
60 The site administrator can make sure the vocabulary file is correct before even trying to start the @controller@ service by running @arvados-server config-check@. When the vocabulary definition isn't correct, the administrator will get a list of issues like the one below:
61
62 <notextile>
63 <pre><code># arvados-server config-check -config /etc/arvados/config.yml
64 Error loading vocabulary file "/etc/arvados/vocabulary.json" for cluster zzzzz:
65 duplicate JSON key "tags.IDTAGFRUITS.values.IDVALFRUITS1"
66 tag key "IDTAGCOMMENT" is configured as strict but doesn't provide values
67 tag value label "Banana" for pair ("IDTAGFRUITS":"IDVALFRUITS8") already seen on value "IDVALFRUITS4"
68 exit status 1
69 </code></pre>
70 </notextile>
71
72 bq. NOTE: These validation checks are performed only on the node that hosts the vocabulary file defined on the configuration. As the same configuration file is shared between different nodes, those who don't host the file won't produce spurious errors when running @arvados-server config-check@.
73
74 h2. Live updates
75
76 Sometimes it may be necessary to modify the vocabulary definition in a running production environment.
77 When a change is detected, the @controller@ service will automatically attempt to load the new vocabulary and check its validity before making it active.
78 If the new vocabulary has some issue, the last valid one will keep being active. The service will export any errors on its health endpoint so that a monitoring solution can send an alert appropriately.
79 With the above mechanisms in place, no outages should occur from making typos or other errors when updating the vocabulary file.
80
81 h2. Health status
82
83 To be able for the administrator to guarantee the system's metadata integrity, the @controller@ service exports a specific health endpoint for the vocabulary at @/_health/vocabulary@.
84 As a first measure, the service won't start if the vocabulary file is incorrect. Once running, if there are updates (that may even be periodical), the service needs to keep running while notifying the operator that some fixing is in order.
85 An example of a vocabulary health error is included below:
86
87 <notextile>
88 <pre><code>$ curl --silent -H "Authorization: Bearer xxxtokenxxx" https://controller/_health/vocabulary | jq .
89 {
90   "error": "while loading vocabulary file \"/etc/arvados/vocabulary.json\": duplicate JSON key \"tags.IDTAGSIZES.values.IDVALSIZES3\"",
91   "health": "ERROR"
92 }
93 </code></pre>
94 </notextile>
95
96 h2. Client support
97
98 Workbench2 currently takes advantage of this vocabulary definition by providing an easy-to-use interface for searching and applying metadata to different objects in the system. Because the definition file only resides on the @controller@ node, and Workbench2 is just a static web application run by every users' web browser, there's a mechanism in place that allows Workbench2 and any other client to request the active vocabulary.
99
100 The @controller@ service provides an unauthenticated endpoint at @/arvados/v1/vocabulary@ where it exports the contents of the vocabulary JSON file:
101
102 <notextile>
103 <pre><code>$ curl --silent https://controller/arvados/v1/vocabulary | jq .
104 {
105   "kind": "arvados#vocabulary",
106   "strict_tags": false,
107   "tags": {
108     "IDTAGANIMALS": {
109       "labels": [
110         {
111           "label": "Animal"
112         },
113         {
114           "label": "Creature"
115         }
116       ],
117       "strict": false,
118 ...
119 }
120 </code></pre>
121 </notextile>
122
123 Although the vocabulary enforcement is done on the backend side, clients can use this information to provide helping features to users, like doing ID-to-label translations, preemptive error checking, etc.
124
125 h2. Properties migration
126
127 After installing the new vocabulary definition, it may be necessary to migrate preexisting properties that were set up using literal strings. This can be a big task depending on the number of properties on the vocabulary and the amount of collections and projects on the cluster.
128
129 To help with this task we provide below a migration example script that accepts the new vocabulary definition file as an input, and uses the @ARVADOS_API_TOKEN@ and @ARVADOS_API_HOST@ environment variables to connect to the cluster, search for every collection and group that has properties with labels defined on the vocabulary file, and migrates them to the corresponding identifiers.
130
131 This script will not run if the vocabulary file has duplicated labels for different keys or for different values inside a key, this is a failsafe mechanism to avoid migration errors.
132
133 Please take into account that this script requires admin credentials. It also offers a @--dry-run@ flag that will report what changes are required without applying them, so it can be reviewed by an administrator.
134
135 Also, take into consideration that this example script does case-sensitive matching on labels.
136
137 {% codeblock as python %}
138 {% include 'vocabulary_migrate_py' %}
139 {% endcodeblock %}