RGW ACL分析文档

最新推荐文章于 2022-06-02 21:43:47 发布
最新推荐文章于 2022-06-02 21:43:47 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: ceph 文章标签: ceph rgw acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ff_gogo/article/details/87882040
版权

1、描述

ACL(Access Control List)权限控制列表,用于控制用户的行为权限。RGW提供bucket和object级别的权限访问控制,RGW允许针对每个用户设置不同的权限,也可以一次性对所有用户设置权限,具体的权限值及含义如下表:

权限值权限对访问者的限制
READ可读。Bucket:列出bucket下的object;Object:读取object的数据;
WRITE可写。Bucket:创建/删除/覆盖写该bucket下的object;Object:无
READ_CAP可读取acl规则。Bucket:读取bucket的acl规则;Object:读取object的acl规则;
WRITE_CAP可修改acl规则。Bucket:修改bucket的acl规则;Object:修改object的acl规则;
FULL_CONTROL同时具备上述权限

默认情况下,对其所属用户而言,bucket和object的acl均为FULL_CONTROL。

2、关键代码分析

2.1 数据结构
RGW的请求入口函数是process_request,然后调用rgw_process_authenticated函数进行各种鉴权、校验和请求执行操作,acl的读取和鉴权操作也在该函数中实现。
在rgw_process_authenticated函数内部,会从磁盘上读取bucket和object权限,并保保存到内存中,相关函数为:
读取bucket规则:rgw_build_bucket_policies
读取object规则:rgw_build_object_policies
用来保存bucket和object的数据结构如下:

/** Store all the state necessary to complete and respond to an HTTP request*/
struct req_state {
  CephContext *cct;
  rgw::io::BasicClient *cio;
  RGWRequest *req{nullptr}; /// XXX: re-remove??
//…
  std::unique_ptr<RGWAccessControlPolicy> user_acl;   //保存user acl
  std::unique_ptr<RGWAccessControlPolicy> bucket_acl; //保存bucket acl
  std::unique_ptr<RGWAccessControlPolicy> object_acl; //object acl
};

class RGWAccessControlPolicy
{
protected:
  CephContext *cct;
  RGWAccessControlList acl;
  ACLOwner owner;
//…
};

class RGWAccessControlList
{
protected:
  CephContext *cct;
  map<string, int> acl_user_map;
  map<uint32_t, int> acl_group_map;
  list<ACLReferer> referer_list;
  multimap<string, ACLGrant> grant_map;
 };

class ACLGrant
{
protected:
  ACLGranteeType type;
  rgw_user id;
  string email;
  ACLPermission permission;
  string name;
  ACLGroupTypeEnum group;
  string url_spec;
//…
};

由上面的数据结构可以清晰看出,内存中保存acl规则列表的是multimap,即multimap<string, ACLGrant> grant_map;
其中:
(1)struct rgw_user的成员id用于标识用户id;
(2)string name 用于标识用户名;
(3)class ACLGranteeType的type成员用于标识用户类型,比如是针对所有用户,还是特定用户;取值如下:

  ACL_TYPE_CANON_USER = 0,
  ACL_TYPE_EMAIL_USER  = 1,
  ACL_TYPE_GROUP      = 2,
  ACL_TYPE_UNKNOWN  = 3,
  ACL_TYPE_REFERER     = 4,

(4)class ACLPermission的flags成员用于标识权限,取值如下:

#define RGW_PERM_NONE            0x00
#define RGW_PERM_READ            0x01
#define RGW_PERM_WRITE           0x02
#define RGW_PERM_READ_ACP        0x04
#define RGW_PERM_WRITE_ACP       0x08
#define RGW_PERM_READ_OBJS       0x10
#define RGW_PERM_WRITE_OBJS      0x20
#define RGW_PERM_FULL_CONTROL    ( RGW_PERM_READ | RGW_PERM_WRITE | \
                                  RGW_PERM_READ_ACP | RGW_PERM_WRITE_ACP )
#define RGW_PERM_ALL_S3          RGW_PERM_FULL_CONTROL
#define RGW_PERM_INVALID         0xFF00

由上述信息可以唯一确定一条acl规则,可以直观地从下图看到:
在这里插入图片描述

2.2 基本操作
1、Acl鉴权过程:
操作之前,先从磁盘读取acl到内存中,再和用户码进行比较。比如创建object时,会先判断该bucket有WRITE权限;读取object时,判断该object有READ权限等;
在这里插入图片描述

2、acl设置
下面从主要看获取acl和设置acl的处理,类图如下:
在这里插入图片描述

(1) 修改/设置acl
入口函数:
RGWPutACLs::execute();
客户端发送请求数据到rgw,格式为为xml,如下图定义6条acl规则,分别针对用户级别(FULL_CONTROL、READ、WRITE、READ_CAP、WRITE_CAP)和group级别(READ)。
在这里插入图片描述
Rgw将xml解析成map<string, bufferlist> attrs;结构,并调用rgw_bucket_set_attrs函数写入到bucket的attr中。对于object来说,调用modify_obj_attr写入对象的attr中。
3、acl获取
获取的处理比较简单,在第一节acl鉴权过程中已将acl读取到内存中,直接从struct req_state结构体变量中提取,并转换成xml格式返回。

fxlego
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ceph rgw应用手册
03-14
ceph rgw应用部署手册,红帽官方出品,上手必备。
Ceph rgw 处理上传文件读取不了的问题
最新发布
a13568hki的博客
06-14 246
一、测试过程1、设置bucket类型为public-read 或者为public-reda-write的存储。下面这里建了一个public-read的存储,其中ACL:anon: READ 表示该存储的访问类型为public-read类型。2、向该存储上传文件。并查看对象的权限。3、打开浏览器,打开console,输入以下代码,进行访问测试执行回车,结果如下:4、设置CORS规则5、访问测试看上图还是不能访问,提示accessdenied。
cephceph配置源码分析|common/config.*
bandaoyu的note
06-02 918
如果一个class中有成百上千个成员变量,有没有觉得当写类头文件都写到手痛,还要在构造函数里初始化它们,简直不敢再想下去了……像下图这样这只是头文件还有实现的接着还有get 和 set然而,以上是最笨的方法~那么问题来了,ceph的开发者是怎样做的呢?利用c++的宏,在class的头文件定义成员变量前定义好要用的宏,如下OPTION(name,ty,init)宏能根据ty,也就是成员变量的类型,在编译时生成成员变量,成员变量的最终定义是在common/config_opts.h下:Class的构造函数初始化
RGW S3 ACL解析
weixin_34270606的博客
04-14 386
2019独角兽企业重金招聘Python工程师标准>>> ...
cephRGW/RadosGW框架/源码分析
bandaoyu的note
06-15 1560
RadosGW分析。 一、RadosGW的main()函数解析。 RadosGW的main()函数位于rgw_main.cc中,该函数是RadosGW的入口函数。这里主要解析和RadosGW相关的内容,尽量省略WebServer的内容。 main()函数解析如下: 1、根据g_conf->rgw_frontends得到默认支持的前端WebServers,目前默认支持的前端WebServer包括fastcgi和civetweb。对于每一个支持的前端都有一个RGWFrontendConfig类与之
rgw bucket 防盗链
huangaijuan1的博客
07-17 778
防盗链实现方式 https://yq.aliyun.com/articles/57931 签名URL可以和Referer白名单功能一起使用,可以增加防盗链的效果。 设置Referer 原理:https://blog.csdn.net/qq_38002337/article/details/79664251 Referer是HTTP Header的一部分,当浏览器向网站Web服务器发送请求...
radosgw layout (rgw 布局)
ganggexiongqi的专栏
05-19 3245
要了解一个存储系统,首先要了解其数据、元数据布局、重要抽象。这里对radosgw / rgw 的布局进行简单介绍。
RGW 的GC深入解析与调优
06-20
RGW 的 GC 深入解析与调优 GC(Garbage Collection,垃圾回收)是RGW 中的一种异步磁盘空间回收操作。GC 的出现是为了释放无用的对象占用的磁盘空间,提高存储设备的利用率。在 RGW 中,GC 通常发生在以下三种情况...
rgw nfs基于nfs-ganesha的实现
10-17
### rgw nfs基于nfs-ganesha的实现 #### 概述 本文旨在总结通过nfs-ganesha实现ceph rgw nfs接口时遇到的问题及解决方案。ceph作为一个分布式存储系统,支持多种存储接口,包括对象存储接口(RADOS Gateway,简称...
CEPH的对象存储RGW更新配额的源码跟踪
06-29
利用visio软件编写的CEPH的对象存储RGW更新配额的源码跟踪,从删除和上传的动作一直跟踪到具体更新配的代码位置
ceph官方文档(英文)_20210325离线下载.rar
03-26
- **RGW(Rados Gateway)**:作为对象存储接口,RGW提供了与Amazon S3兼容的API,允许应用程序直接存取对象。 - **PG(Placement Group)**:PG是Ceph内部的一个逻辑分组,用于将数据分割并分散到OSD上,确保数据...
CEPH RGW处理请求过程
litianze99的专栏
11-17 5529
Rgw处理请求过程Rest api: Put /{bucket} HTTP/1.1 x-amz-acl: public-read-write Authorization: AWS {access}:{hash-of-header-and-secret}这里依civetweb来提供rest服务来介绍,一个请求的处理过程。 回调函数的注册: 在civetweb中注册了用于处理请求的回调函数,在文
S3奇淫技巧:一步完成上传及ACL设置
weixin_34107739的博客
06-28 1047
为什么80%的码农都做不了架构师?>>> ...
RGW 数据模型设计
litianze99的专栏
09-14 2596
ceph是一个开源的统一分布式存储系统,RADOS是提供了底层基础对象存储服务,它由mon和osd组成。RADOS主要操作的对象有pool,object和object的xattr、omap。 bucket和object(key)是rados gateway构造的两个主要的数据模型,本文主要是介绍gateway中bucket和key的设计。
ceph rgw:bucket policy实现
会哭的雨@的博客
08-31 2026
ceph rgw:bucket policy实现 相比于aws,rgw的bucket policy实现的还不是很完善,有很多细节都不支持,并且已支持的特性也在很多细节方面与s3不同,尤其是因为rgw不支持类似s3的account user结构,而使用tenant作为替代而导致的一些不同。 并且在文档中还提及,为了修正这种不同,以及支持更多特性,在不久后会重写rgw的 Authentication/Authorization subsystem。到时候可能导致一些兼容问题? 差异性,主要有以下几点:
一文读懂CEPH RGW基本原理
shichungang的博客
06-07 6770
一文读懂CEPH RGW基本原理。本文从RGW的基本原理出发,从整体上描述RGW的框架结构,突出关键结构之间的关联关系,从基础代码分析关键环节的实现细节,以达到清晰说明RGW模块“骨架”的效果。
Ceph RGW 设计与实现
redenval的专栏
03-08 7847
1.总体架构       rgw 作为对象存储网关系统, 一方面扮演RADOS集群客户端角色, 为对象存储应用提供数据存储; 另一方面扮演HTTP 服务端角色, 接受并解析互联网传送的数据。       通过 HTTP 协议与 Swift 和 S3 应用通讯, 后端与 librados 结合, 通过socket 与 RADOS 集群通讯。 RGW 支持目前主流的WEB服务器, 包括 Civetwe...
Ceph RGW 对象上传源码分析
lv0918_qian的博客
11-24 877
RGW中OP请求处理函数的入口都是process_request,process_request会根据传入的RGWRados参数获取RGWOp,然后当请求合法性通过后去调用rgw_process_authenticated函数执行OP的具体动作。 请求的处理 Collapse source int process_request(RGWRados* const store, RGWREST* const rest,
linux下rgw的安装
05-18
RGW (RADOS Gateway) 是 Ceph 对象存储系统中的一个组件,它提供了 RESTful 接口来访问 Ceph 存储...以上是在 Ubuntu 系统中安装 RGW 的步骤,其他 Linux 发行版可能略有不同,可以参考官方文档或相关教程进行安装。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值