ceph user

最新推荐文章于 2024-06-14 17:18:07 发布
最新推荐文章于 2024-06-14 17:18:07 发布
阅读量1.1k 收藏
点赞数
分类专栏: ceph

这个文档描述了ceph client user,以及user在ceph集群里的授权情况。

当ceph集群启用了权限验证(默认开启),你一定要指定一个user name和一个keyring(含有指定user的密钥)。如果你不指定一个user name,ceph会使用client.admin作为默认user name。如果你不指定一个keyring,ceph会在ceph配置文件夹(/etc/ceph/)里查找keyring。例如

ceph health

ceph把上面的命令解释为:

ceph -n client.admin --keyring=/etc/ceph/ceph.client.admin.keyring health

另外,你可以使用CEPH_ARGS环境变量去避免每次都输入user name和secret

背景

不管是哪种ceph client(例如:block device,object storage,filesystem,native api等),ceph都在pool里存储里所有都对象。ceph用户一定要拥有访问pool的能力才能读写数据。另外,ceph用户一定要拥有执行ceph命令行的权限。下面的一些概念会帮助你理解ceph user管理

user

创建一个user可以让你控制谁(或是什么)可以访问你的ceph集群,pools,以及pools里的数据

ceph拥有user的type的概念。为了进行用户管理,type总是被设为client。ceph通过被(.)隔开的type与user id来识别users,例如:TYPE.ID, client.admin, or client.user1。使用user type的理由是,Ceph Monitors, OSDs, and Metadata Servers 同样在使用cephx协议,但是他们不是客户。区分user type将会帮助区分客户用户与其他用户。

有时候ceph user看起来比较让人疑惑,因为ceph命令行允许你在使用user时不指定type,这取决与你的命令行用法。如果你指定–user或–id,你可以忽略type。所以client.user1可以简化为user1。如果你使用–name或-n,你就一定要指定type和name。建议无论何时都要使用type。

授权

ceph使用“capabilities” (caps)去描述一个被授权用户使用mon,osd,md的权限。capabilities同样可以收紧访问pool里数据,namespace的权限。ceph管理员在创建或更新user时设定user的capabilities。

capabilities的写法结构如下:

{daemon-type} '{cap-spec}[, {cap-spec} ...]'
  • Monitor Caps:Monitor capabilities含有r,w,x权限或profile {name},例如
mon 'allow {access-spec}'
mon 'allow rwx'
mon 'profile {name}'

{access-spec}可以是如下值:

* | all | [r][w][x]
  • OSD Caps: OSD capabilities含有r, w, x, class-read, class-write,权限或profile {name}。另外,osd capabilities允许pool和namespace的设定
osd 'allow {access-spec} [{match-spec}]'

osd 'profile {name} [pool={pool-name} [namespace={namespace-name}]]'

{access-spec}可以是下面2种中的任意一种

* | all | [r][w][x] [class-read] [class-write]

class {class name} [{method name}]

{match-spec}可以是下面两种的任意一种

pool={pool-name} [namespace={namespace-name}] [object_prefix {prefix}]

[namespace={namespace-name}] tag {application} {key}={value}

下面描述一下每种权限能力:
- allow:优先守护进程的访问设置。 仅包含针对MDS的rw。
- r:读权限,可以去mon里的crush map
- w:给用户写权限
- x:给用户调用class方法(也就是读写)的权限并拥有在mon里执行操作的权限
- class-read:给用户调用class读方法的权限,x的子集
- class-write:给用户调用class写方法的权限,x的子集
- *,all:给用户在某daemon/pool读,写和执行权限,并能执行admin命令。

管理user

列出user

ceph auth ls

获取一个用户

ceph auth get {TYPE.ID}

例如

ceph auth get client.admin

添加一个用户

添加一个用户,就要创建一个用户名(也就是type.id),一个secret key和任意权限。

user的key可以让user被ceph集群验证。user的capabilities授权了用户在mon,osd,mds读,写,执行的权限。

以下是几种添加用户的方法:
- ceph auth add: 这个命令会添加一个user。它会创建user,生成key并添加任意权限
- ceph auth get-or-create: 这个命令往往是最方便用来创建用户的,因为它返回了一个由user name与key格式化了的keyfile。如果user已经存在,这个命令会简单的返回用户名与key。
- ceph auth get-or-create-key:这个命令是一个很方便创建用户并只返回user key的方法。这个命令对只需要key的用户很有用。如果user早就存在,这个命令只会返回key。

当创建client user时,你可以创建一个无权限的用户。一个无权限的用户是无用的,因为用户无法从mon取到cluster map。然而,你如果想之后通过ceph auth caps命令去添加权限的话,就可以先创建一个无权限用户。

一个典型用户至少拥有读mon的权限和读写osd的权限,另外,一个用户的osd权限经常会限制特定pool的访问

ceph auth add client.john mon 'allow r' osd 'allow rw pool=liverpool'
ceph auth get-or-create client.paul mon 'allow r' osd 'allow rw pool=liverpool'
ceph auth get-or-create client.george mon 'allow r' osd 'allow rw pool=liverpool' -o george.keyring
ceph auth get-or-create-key client.ringo mon 'allow r' osd 'allow rw pool=liverpool' -o ringo.key

注意,我创建用户的时候,keyring文件并没有相应生成,所以我自己写了keyring文件

ceph auth get client.kube > /etc/ceph/ceph.client.kube.keyring

如果你创建的用户有osd的权限,但是没有限制只能访问特定pool,那么用户就可以访问所有pool

修改user权限

ceph auth cap命令会覆盖已有的capabilities,所以在添加或修改权限前,你要去查看已有的权限ceph auth get USERTYPE.USERID

ceph auth caps USERTYPE.USERID {daemon} 'allow [r|w|x|*|...] [pool={pool-name}] [namespace={namespace-name}]' [{daemon} 'allow [r|w|x|*|...] [pool={pool-name}] [namespace={namespace-name}]']

例如:

ceph auth get client.john
ceph auth caps client.john mon 'allow r' osd 'allow rw pool=liverpool'
ceph auth caps client.paul mon 'allow rw' osd 'allow rwx pool=liverpool'
ceph auth caps client.brian-manager mon 'allow *' osd 'allow *'

想要删除capability,你可以重置capability。例如:

ceph auth caps client.ringo mon ' ' osd ' '

删除用户

ceph auth print-key {TYPE}.{ID}

导入用户

ceph auth import -i /path/to/keyring

例如:

sudo ceph auth import -i /etc/ceph/ceph.keyring

keyring管理

当你通过ceph client访问ceph是,ceph client会查找本地keyring。ceph预设了以下四中kering名称,所以你不用在ceph配置文件里设置它,除非你要重写(不建议)
- /etc/ceph/ cluster. c l u s t e r . name.keyring
- /etc/ceph/$cluster.keyring
- /etc/ceph/keyring
- /etc/ceph/keyring.bin

$cluster是由ceph配置文件的名称决定的ceph cluster名称(也就是说, ceph.conf代表着cluster名称是ceph)。$name是user tyep和user id(例如:client.admin)

当你创建用户之后,你必须获取key并添加它到ceph client端,不然你用这个用户无法访问到ceph集群。

ceph auth get client.kube > /etc/ceph/ceph.client.kube.keyring
bingzhilingyi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ceph 创建用户,秘钥
weixin_34032621的博客
12-26 2291
2019独角兽企业重金招聘Python工程师标准>>> ...
ceph用户管理
DoloresOOO的博客
06-26 1925
导读: 1.从零部署一个ceph集群 2.ceph block device与cephfs快速入门 3.ceph 对象存储快速入门 4.Ceph存储集群&配置 5.centos7 通过cephadm部署ceph octopus版本 6.ceph集群状态检查常用命令 7.ceph osd pg 状态介绍 用户管理 当Ceph在启用身份验证和授权的情况下运行(默认情况下启用)时,必须指定用户名和包含指定用户的私钥的keyring。 如果您未指定用户名,则Ceph将使用client.admin作为默认用
Ceph 用户管理
热门推荐
litianze99的专栏
03-25 1万+
Ceph 用户管理用户管理Ceph storage cluster的认证和授权默认是启用的。Ceph的客户端用户要么是独立的个体用户,要么是系统中的一个应用,他们都使用ceph的客户端与ceph存储集群交互。 当ceph启用认证和授权时,你必须要指定用户名和包含秘钥的钥匙环才可以使用客户端与集群进行交互。如果不指定如:ceph heath,它会使用默认用户client.admin并自动通过ke
Ceph:关于 Ceph 用户认证授权管理的一些笔记
山河已无恙
06-27 772
准备考试,整理 Ceph 相关笔记博文内容涉及, Ceph 用户管理,认证管理,权限管理 以及相关 Demo理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》Ceph使用cephx协议对集群中客户端、应用程序和守护进程之间的通信进行授权。cephx协议基于共享密钥在 Ceph 的安装过程默认启用cephx。
ceph中的命令
qq_42533216的博客
03-02 501
# 查看bucket列表 [root@inspur02 ~]# radosgw-admin bucket list [ "test-bucket-system-4", "ccc", "database_logs", "r1-cennavi-ob", "r1-magna-ob", "alluxio-ob", "test02", "test-bucket-system-3", "r1-imp-sdk-ob", "b...
C:\Users\yjiang2\Downloads\Ceph分布式文件系统\Ceph中国社区\Ceph-User-Survey-2018-Slides.pdf
07-08
2018年Ceph 用户调查报告,包括有哪些地域用户,哪些组织在用,主要使用多大的集群,Ceph主要跑在哪些硬件上等
ceph-iscsiGW-rpmfiles-el8
10-30
2. **tcmu-runner-1.5.2.31.gda0fb70-0.el8.x86_64.rpm**:Target Core Module User-land (TCMU) 运行器是 Linux 内核 iSCSI 目标框架的关键组成部分,它在用户空间运行,处理 iSCSI 请求并将其转发给后端存储驱动。...
ceph s3管理接口 php python
03-10
Ceph是一个开源的分布式存储系统,广泛用于云存储,提供S3兼容的API,允许开发者使用类似于Amazon S3的服务。 描述中提到“国内第一个php 生版本的s3用户管理接口实例”,这可能是指该资源提供了在中国首个基于PHP...
对象存储单节点ceph环境部署,附移除osd并格式化osd所在磁盘脚本
02-19
环境搭建步骤 1.安装 Centos7 镜像,1块系统盘(sda),2块数据盘(sdb、sdc) ...5.创建system用户 radosgw-admin user create 6.S3cmd 安装和配置 其他 ceph_rm_osd.sh用于移除osd并格式化osd所在磁盘
rook-ceph:安装程序Rook在Kubernetes上使用Ceph
04-06
这可能涉及创建CRDs如`ceph-user.yaml`和`ceph-creds.yaml`。 7. **动态Provisioning**: 设置动态卷Provisioning,使得Pod可以通过StorageClass自动创建和管理Ceph存储卷。Kubernetes会根据应用的需求动态创建和...
CEPH给用户创建读写权限
康雨城
09-29 760
ceph auth get-or-create client.kyc mon 'allow r' osd 'profile rbd pool=yucheng_pool' > ceph.client.kyc.keyring 其中kyc 为用户名 yucheng_pool为用户存储池
ceph 用户和桶的权限和size大小
最新发布
~~河*涌--湖的博客
06-14 539
ACL:适用于简单的权限设置,如读写权限。用户策略:适用于复杂的权限控制和多用户环境。公共访问设置:用于控制未认证用户的访问权限。合理配置和管理桶的权限,可以确保数据的安全性和可控性。如果你有更具体的需求或问题,请告诉我,我会尽力提供帮助。:直接为特定的单个桶设置配额。适用于需要控制某个具体桶的资源使用情况。radosgw-admin quota set --uid= --quota-scope=bucket:为特定用户所拥有的所有桶设置总体配额。
Ceph 对象存储配置笔记
weixin_37991446的博客
08-03 478
Ceph对象存储 1.系统资源—准备三台server 2.安装前配置 1.配置hosts---vi /etc/hosts 2.安装openvm工具---yum install -y open-vm-tools (工作环境是VMware虚拟环境时) 3.配置防火墙 确保在ceph存储管理节点和客户端节点中开放了以下的端口:2003/4505-4506 启用防火墙systemctl enable firewalld 运行命令开放端口 firewall-cmd --zone=public --add-po
k8s(十二)、分布式存储Ceph RBD使用
Vic的博客
08-08 1446
前言 上篇文章介绍了k8s使用pv/pvc 的方式使用cephfs,k8s(十一)、分布式存储Cephfs使用 Ceph存储有三种存储接口,分别是:对象存储 Ceph Object Gateway 块设备 RBD 文件系统 CEPHFS Kubernetes支持后两种存储接口,支持的接入模式如下图: 在本篇将测试使用ceph rbd作持久化存储后端 RBD创建测试 rbd的使用分为3个步骤: 1.服务端/客户端创建块设备image 2.客户端将image映射进linux系统内核,内核识别出该块设
Ceph认证机制
孟凡霄
11-18 756
Ceph认证机制 创建用户 用户通过ceph客户端向ceph认证系统请求生成一个用户ceph认证系统会生成一个用户名和密钥ceph认证系统会把用户名和密钥在监视器保存一份副本ceph认证系统会把用户名和密钥通过客户端给到用户所以用户和监视器都共享着同一份密钥 Ceph用共享密钥认证 客户端有一份密钥监视器集群有一份密钥客户端和监视器之间交互不需要用密钥认证(不需要对暗号) 监视器给用户共享密钥 用户通过ceph客户端向监视器请求获取会话密钥监视器用用户的私钥加密得到会话密钥给到用户 客户端拿着会话密
Ceph的认证授权
因上努力,果上随缘。但行好事,莫问前程。
07-01 1440
目录1. Ceph的授权1.1 Ceph的认证流程1.2 Ceph认证机制1.3 Ceph常用权限说明1.4 Ceph的授权操作1.4.1 授权的基本语法规则1.4.2 常用的授权语法1.4.3 ceph用户命令规范1.4.4 添加用户1.4.5 用户密钥的导入导出1.4.6 用户的查询与删除1.4.7 修改用户权限1.5 推送用户至客户端1.6 通过命令行使用用户1.7 认证练习(管理ceph认证)ceph用caps来描述给予用户的的权限来使用mon和osd/mds,caps用来限制对某一个存储池的数据或
ceph (luminous 版) 用户管理
Terry Tsang
11-21 3245
说明 对 ceph luminous 版 ceph-12.2.0-0 版本进行用户管理 权限说明 常见管理包括 创建用户 删除用户 对已有用户进行授权 查询用户权限 获得用户当前密钥 权限 当前环境中, 只使用到 RBD 服务, 因此只需要管理 mon, osd 两者的权限属性则可 mon 需要...
CEPH分布式集群搭建
fd214333890的专栏
04-16 6849
1 概述1.2 集群概述    Ceph集群是一个集Monitors[1]、OSDs[2]、MDs[3]三种节点组成的一种集群。这里我所做的Ceph集群的搭建步骤主要以Monitor+OSDs为核心来搭建该集群,若掌握了这两个搭建集群的方法,理解其搭建流程,再在此基础上添加MDs就会变得很简单。总的来说,搭建集群难点在于集群前期的搭建以及让这个集群达到active(激活)状态,之后再添加OSD或是...
ceph ceph_argparse
09-20
在引用中,示例命令"/usr/bin/ceph-mon -f --cluster ceph --id node1 --setuser ceph --setgroup ceph"表示启动一个ceph-mon进程,并给它传递了一些命令行参数。 在引用和引用中,CephContext对象被创建,并将参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值