用户:所谓用户是指个人或系统参与者(例如应用);通过创建用户,可以控制谁(或哪个参与者)能够访问Ceph存储集群、以及可访问的存储池及存储池中的数据;Ceph支持多种类型的用户,但可管理的用户都属于Client类型;区分用户类型的原因在于,MON、OSD和MDS等系统组件也使用cephx协议,但它们非人为客户端;通过点号来分隔用户类型和用户名,格式为TYPE.ID,例如client.admin等
授权和使能:Ceph基于“使能(caps)”来描述用户可针对MON、OSD或MDS使用的权限范围或级别;通用语法格式:daemon-type 'allow caps' [...];MON使能,包括r、w、x和allow profile cap,例如:mon 'allow rwx',以及mon 'allow profile osd'等;OSD使能包括r、w、x、class-read、class-write和profile osd;此外,OSD 使能还允许进行存储池和名称空间设置;MDS使能只需要allow,或留空;
使能的意义
allow:需先于守护进程的访问设置指定,仅对MDS表示rw之意,其它的表示字面意义;
r:读取权限,访问MON以检索CRUSH时依赖此使能;
w:对象写入权限;x:调用类方法(读取和写入)的能力,以及在MON上执行auth操作的能力;class-read:x能力的子集,授予用户调用类读取方法的能力;class-write:x的子集,授予用户调用类写入方法的能力;*:授予用户对特定守护进程/存储池的读取、写入和执行权限,以及执行管理命令的能力;
profile osd:授予用户以某个OSD身份连接到其他OSD或监视器的权限,授予OSD权限,使OSD能够处理复制检测信号流量和状态报告;
profile mds: 授予用户以某个MDS身份连接到其他MDS或监视器的权限;
profile bootstrap-osd: 授予用户引导OSD的权限,授权给部署工具,使其在引导OSD时有权添加密钥;
profile bootstrap-mds:授予用户引导元数据服务器的权限,授权给部署工具,使其在引导元数据服务器时有权添加密钥;
Ceph用户管理
Ceph集群管理员能够直接在Ceph集群中创建、更新和删除用户;创建用户时,可能需要将密钥分发到客户端,以便将密钥添加到密钥环;所谓密钥环,我们就可以理解为存放密钥的一个文件,该文件可以同时存放一个或多个用户的密钥信息;有点类似我们生活中的钥匙环,我们可以在上面挂一个或多个钥匙;
列出用户命令:ceph auth list
[root@ceph-admin ~]# ceph auth listinstalled auth entries:mds.ceph-mon02key: AQDT1y9jaMUZDRAA79b3XSXqBbXUlNsT0RLeiw==caps: [mds] allowcaps: [mon] allow profile mdscaps: [osd] allow rwxosd.0key: AQD3+i1j5IJQCxAAOjQdvckg8TskXu7c4MbPAA==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.1key: AQAo7C1j+dEDEBAAAA47bD+nZQZuV4kJjnqACA==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.2key: AQA77C1j5ot+DhAAJ+Y1KwgI2zsxRHmTUkfing==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.3key: AQBM7C1jdIuHEhAAYBA9gzC4J+kZUxkMzhjq4g==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.4key: AQBq7C1jZrNZKhAAK+TvnPgK0jAWIwz0PYFT/g==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.5key: AQB57C1jVcczERAAxJ3iqvKS/2kfE4HlFQHIWQ==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.6key: AQCP7C1jB80KGhAA9iXzAg+9ANWjgPb2ZdWdhw==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.7key: AQCe7C1jbx4rNxAANOB3PPLxRXi/st1UYiTWqQ==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.8key: AQCz7C1jUGzQIhAAj6aTVM6rNsTO3Lp08rePzg==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *osd.9key: AQDA7C1jwXTrEBAATszxwOKepUHzZ5WKwIMu7w==caps: [mgr] allow profile osdcaps: [mon] allow profile osdcaps: [osd] allow *client.adminkey: AQB94C1jTO8jJhAAY4Zhy40wduyIONnRqxtkEA==caps: [mds] allow *caps: [mgr] allow *caps: [mon] allow *caps: [osd] allow *client.bootstrap-mdskey: AQB94C1jRPwjJhAAZsfgne6whasyCmSCgefocw==caps: [mon] allow profile bootstrap-mdsclient.bootstrap-mgrkey: AQB94C1jvQQkJhAA9y2LmEvBTG0Mjew8k0ecdw==caps: [mon] allow profile bootstrap-mgrclient.bootstrap-osdkey: AQB94C1jDg4kJhAAhQPCebi6JfF9HZo4q39WGA==caps: [mon] allow profile bootstrap-osdclient.bootstrap-rbdkey: AQB94C1jkxYkJhAAEUjId8hdDCA67PX+SQXAYw==caps: [mon] allow profile bootstrap-rbdclient.bootstrap-rgwkey: AQB94C1jPx4kJhAAXIwArGEkQ76tQG1NnJ0Wmw==caps: [mon] allow profile bootstrap-rgwclient.rgw.ceph-mon01key: AQD0zS9jI7e4BRAA7fvC/02D6j2YoGHZwveQCQ==caps: [mon] allow rwcaps: [osd] allow rwxmgr.ceph-mgr01key: AQDi5S1jgpYLHRAAWHJeiwwD86AVg0YzUOPCmQ==caps: [mds] allow *caps: [mon] allow profile mgrcaps: [osd] allow *mgr.ceph-mgr02key: AQDk5S1jY6tkBhAAXPIK4N+bia3W6IoqlJRehw==caps: [mds] allow *caps: [mon] allow profile mgrcaps: [osd] allow *mgr.ceph-mon01key: AQDD9C1ja0vhOBAAnUkp5RcLBkZl8qfb4qXXLw==caps: [mds] allow *caps: [mon] allow profile mgrcaps: [osd] allow *[root@ceph-admin ~]#
经验总结扩展阅读
- 肾结石有遗传因素吗
- 分布式存储系统之Ceph集群存储池操作
- 阴阳师剧情收录系统有什么功能
- 台式电脑怎么装系统
- 有没有像系统之乡土懒人的小说
- 怎么制作系统u盘win7
- 分布式存储系统之Ceph集群存储池、PG 与 CRUSH
- 苹果ios14.7新功能_苹果ios14.7系统怎么样
- centos7系统资源限制整理
- 引擎之旅 Chapter.4 日志系统