ceph key的创建

最新推荐文章于 2024-09-02 16:18:36 发布
最新推荐文章于 2024-09-02 16:18:36 发布
阅读量2k 收藏 1
点赞数
分类专栏: ceph 文章标签: ceph keyring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/litianze99/article/details/75314611
版权

ceph中提供了cephx认证机制,客户端到服务端的访问,服务段之间的互访等都提供了认证过程,当然这些都是可配的。本文主要介绍ceph中key的常见过程。
ceph中有两个要弄清的概念:
key和keyring: key标识一个密钥,一串字符;keyring用来存放密钥,也可以理解为一个文件。

创建keyring的过程:

下面这部分代码,从ceph_osd.cc的main方法中提取的。

  if (mkkey) {
    common_init_finish(g_ceph_context);
    //创建KeyRing实例
    KeyRing *keyring = KeyRing::create_empty();
    if (!keyring) {
      derr << "Unable to get a Ceph keyring." << dendl;
      return 1;
    } 

    EntityName ename(g_conf->name);
    EntityAuth eauth;
    //从keyring文件中加载KeyRing信息
    int ret = keyring->load(g_ceph_context, g_conf->keyring);
    if (ret == 0 &&
        keyring->get_auth(ename, eauth)) {
      derr << "already have key in keyring " << g_conf->keyring << dendl;
    } else {
    //创建Key
      eauth.key.create(g_ceph_context, CEPH_CRYPTO_AES);
      keyring->add(ename, eauth);
      bufferlist bl; 
      //将KeyRing信息序列化到bl中(以普通文本的形式)
      keyring->encode_plaintext(bl);
      //保存到keyring文件中
      int r = bl.write_file(g_conf->keyring.c_str(), 0600);                                                                                                                                  
      if (r) 
        derr << TEXT_RED << " ** ERROR: writing new keyring to " << g_conf->keyring
             << ": " << cpp_strerror(r) << TEXT_NORMAL << dendl;
      else
        derr << "created new key in keyring " << g_conf->keyring << dendl;
    } 
  }

这段代码主要实现创建key的过程,首先它试图从给定的keyring文件中去加载,如果没有再去创建,创建成功之后,又以普通文本的形式保持到keyring文件中。

其中涉及的一些抽象结构:

1.KeyRing继承与KeyStore,KeyRing类中包含一个keys(map < EntityName, EntityAuth >)属性。
2.EntityAuth中包含auid(uint64_t)key(CryptoKey) caps(map< string, bufferlist >)
3.CryptoKey中有type(__u16) created(utime_t) secret(bufferptr) ckh(mutable ceph::shared_ptr < CryptoKeyHandler >)
4.CryptoAES 继承于CryptoHandler

创建Key的过程实现

加载keyring

从keyring文件中读取信息,然后反序列化到KeyRing实例中。

int KeyRing::load(CephContext *cct, const std::string &filename)
{
  if (filename.empty())
  ¦ return -EINVAL;

  bufferlist bl;
  std::string err;
  //从keyring文件中读取key
  int ret = bl.read_file(filename.c_str(), &err);
  if (ret < 0) {
  ¦ lderr(cct) << "error reading file: " << filename << ": " << err << dendl;
  ¦ return ret;
  }
//将读取到的信息,反序列化到keys中
  try {
  ¦ bufferlist::iterator iter = bl.begin();
  ¦ decode(iter);
  }
  catch (const buffer::error& err) {
  ¦ lderr(cct) << "error parsing file " << filename << dendl;
  ¦ return -EIO;
  }

  ldout(cct, 2) << "KeyRing::load: loaded key file " << filename << dendl;
  return 0;
}
void KeyRing::decode(bufferlist::iterator& bl) {                                                                                                                  
  __u8 struct_v;                                                                                                                                                  
  bufferlist::iterator start_pos = bl;                                                                                                                            
  try {                                                                                                                                                           
  ¦ ::decode(struct_v, bl);                                                                                                                                                                  
  ¦ ::decode(keys, bl);                                                                                                                                           
  } catch (buffer::error& err) {                                                                                                                                  
  ¦ keys.clear();                                                                                                                                                 
  ¦ decode_plaintext(start_pos);                                                                                                                                  
  }                                                                                                                                                               
}

上面如果发现keyring中没有,或者加载失败,则进入创建新key的过程。

创建key
int CryptoKey::create(CephContext *cct, int t)                                                                                                                                               
{                                                                                                                                                                 
  CryptoHandler *ch = CryptoHandler::create(t);                                                                                                                   
  if (!ch) {                                                                                                                                                      
  ¦ if (cct)                                                                                                                                                      
  ¦ ¦ lderr(cct) << "ERROR: cct->get_crypto_handler(type=" << t << ") returned NULL" << dendl;                                                                    
  ¦ return -EOPNOTSUPP;                                                                                                                                           
  }                                                                                                                                                               
  bufferptr s;                                                                                                                                                    
  int r = ch->create(s);                                                                                                                                          
  delete ch;                                                                                                                                                      
  if (r < 0)                                                                                                                                                      
  ¦ return r;                                                                                                                                                     

  r = _set_secret(t, s);                                                                                                                                          
  if (r < 0)                                                                                                                                                      
  ¦ return r;                                                                                                                                                     
  created = ceph_clock_now();                                                                                                                                     
  return r;                                                                                                                                                       
}

该法方法中创建了CryptoHandler来完成key的创建,深入到create方法中会发现该方法返回的是CryptoHandler的子类,由它来创建key。
创建CryptoAES实例。

CryptoHandler *CryptoHandler::create(int type)                                                                                                                    
{                                                                                                                                                                 
  switch (type) {                                                                                                                                                 
  case CEPH_CRYPTO_NONE:                                                                                                                                          
  ¦ return new CryptoNone;                                                                                                                                        
  case CEPH_CRYPTO_AES:                                                                                                                                           
  ¦ return new CryptoAES;                                                                                                                                         
  default:                                                                                                                                                        
  ¦ return NULL;                                                                                                                                                                             
  }                                                                                                                                                               
}
创建一串字符来作为key
int CryptoAES::create(bufferptr& secret)                                                                                                                          
{                                                                                                                                                                 
  bufferlist bl;                                                                                                                                                                             
  int r = get_random_bytes(AES_KEY_LEN, bl);                                                                                                                      
  if (r < 0)                                                                                                                                                      
  ¦ return r;                                                                                                                                                     
  secret = buffer::ptr(bl.c_str(), bl.length());                                                                                                                  
  return 0;                                                                                                                                                       
} 

int get_random_bytes(char *buf, int len)
{
  int fd = TEMP_FAILURE_RETRY(::open("/dev/urandom", O_RDONLY));
  if (fd < 0)
    return -errno;
  int ret = safe_read_exact(fd, buf, len);
  VOID_TEMP_FAILURE_RETRY(::close(fd));
  return ret;
}

由以上代码可以知道key是由linux系统的/dev/urandom,随机生成。

设置key
int CryptoKey::_set_secret(int t, const bufferptr& s)                                                                                                             
{                                                                                                                                                                 
  if (s.length() == 0) {                                                                                                                                          
  ¦ secret = s;                                                                                                                                                   
  ¦ ckh.reset();                                                                                                                                                  
  ¦ return 0;                                                                                                                                                     
  }                                                                                                                                                               

  CryptoHandler *ch = CryptoHandler::create(t);                                                                                                                   
  if (ch) {                                                                                                                                                       
  ¦ int ret = ch->validate_secret(s);                                                                                                                             
  ¦ if (ret < 0) {                                                                                                                                                
  ¦ ¦ delete ch;                                                                                                                                                  
  ¦ ¦ return ret;                                                                                                                                                 
  ¦ }                                                                                                                                                             
  ¦ string error;                                                                                                                                                 
  ¦ ckh.reset(ch->get_key_handler(s, error));                                                                                                                     
  ¦ delete ch;                                                                                                                                                    
  ¦ if (error.length()) {                                                                                                                                         
  ¦ ¦ return -EIO;                                                                                                                                                
  ¦ }                                                                                                                                                             
  } else {                                                                                                                                                        
  ¦ ¦ return -EOPNOTSUPP;                                                                                                                                         
  }                                                                                                                                                               
  type = t;                                                                                                                                                       
  secret = s;                                                                                                                                                     
  return 0;                                                                                                                                                       
}

验证key的长度,创建CryptoAESKeyHandler,并生成对secret加密后的字符串。

int CryptoAES::validate_secret(const bufferptr& secret)
{
  if (secret.length() < (size_t)AES_KEY_LEN) {
  ¦ return -EINVAL;
  }

  return 0;
} 

CryptoKeyHandler *CryptoAES::get_key_handler(const bufferptr& secret,                                                                                             
                                             string& error)                                                                                                       
{                                                                                                                                                                 
  CryptoAESKeyHandler *ckh = new CryptoAESKeyHandler;                                                                                                             
  ostringstream oss;                                                                                                                                              
  if (ckh->init(secret, oss) < 0) {                                                                                                                               
  ¦ error = oss.str();                                                                                                                                            
  ¦ delete ckh;                                                                                                                                                   
  ¦ return NULL;                                                                                                                                                  
  }                                                                                                                                                               
  return ckh;                                                                                                                                                     
}

创建secret的加密后的key。

  int CryptoAESKeyHandler::init(const bufferptr& s, ostringstream& err) {                                                                                                                                         
  ¦ secret = s;                                                                                                                                                   

  ¦ enc_key = new CryptoPP::AES::Encryption(                                                                                                                      
  ¦ ¦ (byte*)secret.c_str(), CryptoPP::AES::DEFAULT_KEYLENGTH);                                                                                                   
  ¦ dec_key = new CryptoPP::AES::Decryption(                                                                                                                      
  ¦ ¦ (byte*)secret.c_str(), CryptoPP::AES::DEFAULT_KEYLENGTH);                                                                                                   

  ¦ return 0;                                                                                                                                                     
  }

到这里key就创建完成了,下面是将内存中的key导入的文件中(普通文本形式)。

将内存中的key序列化之后导出到keyring中

//将KeyRing实例中的信息,以普通文本的形式写入到bl中。
void KeyRing::encode_plaintext(bufferlist& bl)                                                                                                                    
{                                                                                                                                                                 
  std::ostringstream os;                                                                                                                                                                     
  print(os);                                                                                                                                                      
  string str = os.str();                                                                                                                                          
  bl.append(str);                                                                                                                                                 
}  
//将KeyRing实例中的信息,输出到out流中。
void KeyRing::print(ostream& out)                                                                                                                                 
{                                                                                                                                                                 
  for (map<EntityName, EntityAuth>::iterator p = keys.begin();                                                                                                                               
  ¦ ¦ ¦p != keys.end();                                                                                                                                           
  ¦ ¦ ¦++p) {                                                                                                                                                     
  ¦ out << "[" << p->first << "]" << std::endl;                                                                                                                   
  ¦ out << "\tkey = " << p->second.key << std::endl;                                                                                                              
  ¦ if (p->second.auid != CEPH_AUTH_UID_DEFAULT)                                                                                                                  
  ¦ ¦ out << "\tauid = " << p->second.auid << std::endl;                                                                                                          

  ¦ for (map<string, bufferlist>::iterator q = p->second.caps.begin();                                                                                            
        ¦q != p->second.caps.end();                                                                                                                               
        ¦++q) {                                                                                                                                                   
  ¦ ¦ bufferlist::iterator dataiter = q->second.begin();                                                                                                          
  ¦ ¦ string caps;                                                                                                                                                
  ¦ ¦ ::decode(caps, dataiter);                                                                                                                                   
  ¦ ¦ out << "\tcaps " << q->first << " = \"" << caps << '"' << std::endl;                                                                                        
  ¦ }                                                                                                                                                             
  }                                                                                                                                                               
}

这个方法就导出了平常在keyring文件中看到的key的形式。

李艳坤
关注
专栏目录
ceph秘钥管理机制
qq_23929673的博客
01-27 2925
文章目录引言CephX 是什么?CephX 的命名规则默认用户谁才是 CephX 中的鼻祖?CephX 使用场景MONOSDClient细说 capsMON权限介绍r 权限w 权限x 权限* 权限profile osd 权限OSD丢失所有秘钥的恢复流程cephx -> nonekeyring 的分布配置只能访问一个RBD的用户权限总结 引言 这篇文章主要介绍了 Ceph 中的一个重要系统 –...
创建和使用CephFS
yangqihai510的博客
05-24 766
对于大多数Ceph部署,设置第一个CephFS文件系统非常简单,如下所示。
关于ceph osd auth keyring
system_zhazha的博客
04-11 542
关于osd auth 认证。
CephX 认证机制及用户管理
最新发布
qq_31055683的博客
09-02 764
Ceph使用Cephx协议对客户端进行身份认证Cephx 用于对ceph保存的数据进行认证访问和授权,用于对访问ceph的请求进行认证和授权监测,与mon通信的请求都要经过ceph认证通过,但是也可以在mon节点关闭cephx认证,但是关闭认证之后任何访问都将被允许,因此无法保证数据的安全性。
ceph遍历key迁移数据
zerotoall的博客
03-29 405
ceph集群出现版本bug,遍历key,调用ceph api接口实现数据迁移
ceph遍历key迁移数据_ceph导出bucket数据,2024年最新原理+实战讲解
2401_84247505的博客
04-15 752
当时查了挺多数据,都无法在集群故障,无法读写的情况下按bucket实现遍历key,所以这里我是直接把所有数据都遍历了 ,5.6亿行的key数据,大概导了30个小时左右导完。个人比较熟悉py语法,现在流行chatgpt,大家也可以尽可能地使用起来,特别是跨语言实现功能的时候,我这里在chatgpt也查到js的用法,个人感觉相当哇塞。—在使用py过滤的过程中遇到了一个比较常见的错误,由于导出的key文件有60多g,如果直接把60多g的文件直接放到内存中,是会导致内存错误,需要使用流式读取。
ceph存储 ceph集群keyvaluestore认知
skdkjxy的专栏
12-18 1243
CephStore Engine KeyValueStore 概述 KeyValueStore 是 Ceph 支持的另一个存储引擎(第一个是FileStore),它是在 Emporer 版本中Add LevelDB support to ceph cluster backend store Design Summit 上由本人提出并实现了原型系统,在 Firely 版本中实现了与 Ob
ceph 创建用户,秘钥
weixin_34032621的博客
12-26 2315
2019独角兽企业重金招聘Python工程师标准>>> ...
ceph创建pool
炮哥技术分享
01-22 9529
概述 一个ceph集群可以有多个pool,每个pool是逻辑上的隔离单位,不同的pool可以有完全不一样的数据处理方式,比如Replica Size(副本数)、Placement Groups、CRUSH Rules、快照、所属者等。 正文 查看现有pool列表,删除默认的pool ceph osd lspools 删除默认pool rbd rados rmpool rbd rbd --yes-...
4. Ceph创建rgw对象存储
weixin_43357497的博客
12-25 1103
Ceph创建rgw对象存储 1、功能特性 对象存储最基本的功能包括用户,存储桶,对象的增删改查,在此基础之上结合对象存储应用的特征,引申出更多的功能,比如在对象存储应用中,如果对一个存储桶或者对象没有任何访问的限制,该储存桶或对象就会变成公开的资源,任何人都可以访问。因此对存储桶和对象的访问控制变得尤为重要,存储桶和对象的访问功能成为了对象存储的基本功能之一。 2、 创建rgw 集群 (对象存储集群) 2.1、安装 #rgw节点都安装 yum install -y ceph-radosgw #创建rgw网关
Centos搭建ceph+++三、创建部署CEPH用户
controllerha的博客
12-05 4548
四、创建部署CEPH用户 admin-node节点需要以普通用户登录 Ceph 节点,且此用户拥有无密码使用sudo的权限 1.安装ssh服务器(一般来说都是有的不用安装) yum install openssh-server 2.在所有节点上创建ceph用户并设置密码 admin-node节点: 创建用户: useradd -d /home/ceph -m ceph
手动增加ceph对象网关(可在一个节点增加多个网关)
weixin_41438870的博客
04-16 681
手动增加ceph对象网关(可在一个节点增加多个网关) 以下步骤建议在centos 子用户下进行,不建议在root用户下 1、安装radosgw 若已安装,请自行跳过此步骤 yum -y install ceph-radosgw 2、创建keyring sudo ceph-authtool --create-keyring /etc/ceph/ceph.client.radosgw.keyring...
CEPH-初识篇】Ceph 详细介绍,一篇解决 Ceph 集群搭建, 三大存储使用
持续分享,个人的运维经验,包含:云计算、Linux、Windows、容器、K8s、CICD、Python、运维开发、公有云等;以及个人经历相关内容,包含:实习、面试经验等。
06-04 9147
你好,我是无名小歌。 今天给大家分享一个分布式存储系统ceph。什么是cephCeph在一个统一的系统中独特地提供对象存储、块存储和文件存储。
ceph在信创操作系统和服务器上安装
wanger5354的博客
03-23 2999
本文介绍在国产化操作系统和服务器上进行ceph集群的安装基础配置操作系统使用银河kylin v10,CPU为飞腾处理器S2500[root@node1 ~]# cat /etc/kylin-release  Kylin Linux Advanced Server release V10 (Sword) [root@node1 ~]# lscpu 架构:   &
Ceph存储实战 - 对象存储
mcc
04-15 304
此过程需要另外准备一台服务器 ceph-rgw 具体过程可参照我前面两篇博客,此处不再赘述,接下来我们继续 在node1节点的操作 在/etc/ceph目录下操作 安装radows网关 新建网关实例 ceph-deploy install --rgw ceph-rgw ceph-deploy rgw create ceph-rgw 创建客户端账户,将秘钥环拷贝到客户端/etc/ceph ceph auth get-or-create client.radosgw osd 'allow rwx' mon
ceph安装总结
bingzhilingyi的博客
06-04 1325
安装总结 安装ceph集群,其实就是找个主机作为admin节点,安装ceph-deploy,然后用ceph-deploy安装其他组件 安装前要做很多设置,安装ntp来确保时间同步,创建免密sudo与免密登录的安装用户等等 第一步是初始化集群,这一步指定一个mon,然后就会生成ceph.conf和mon的keyring 第二步就是在各个节点安装ceph,这一步要安装一堆东西,提示安装失败没关系,...
Ceph三大存储访问类型之对象存储
ZHANGJNWEI的专栏
07-08 982
RGW RGW是RADOS Gateway的简称,基于LIBRADOS封装而实现的FastCGI(FastCGI是一个可伸缩地、高速地在HTTP服务器和动态脚本语言间通信的接口)服务,提供RESTful风格对象存储数据访问和管理接口。RGW提供的接口兼容: S3接口 Swift接口 Admin管理接口 概念和术语: AccessKey, SecretKey: AccessKey标识客户身份,SecretKey作为私钥形式存储咋客户服务器,用于签名。使用AccessKey进行身份识别,加上Secr.
Ceph分布式存储系列(七):对象存储RGW和S3cmd的安装配置及常用命令
97运维的博客
11-01 3256
ceph-deploy部署的集群中RGW的安装使用及常用命令 对象存储管理工具S3cmd的安装使用及常用命令
ceph存储 Could not find keyring file: /etc/ceph/ceph.client.admin.keyring on host
热门推荐
skdkjxy的专栏
11-25 1万+
ceph-deploy mon create-initial 命令执行后, 如果提示: [ceph_deploy.mon][INFO ] Running gatherkeys... [ceph_deploy.gatherkeys][DEBUG ] Checking manila59 for /etc/ceph/ceph.client.admin.keyring [manila59][DEBUG
ceph 创建cephfs并使用
05-31
创建 CephFS 并使用它,需要遵循以下步骤: 1. 确保在 Ceph 集群中已启用 CephFS 功能。在 ceph.conf 文件中,确保以下配置项已设置为“true”: ``` [global] fsid = <your fsid> mon_initial_members = <your mon node names> mon_host = <your mon node IP addresses> auth_cluster_required = cephx auth_service_required = cephx auth_client_required = cephx [client] keyring = /etc/ceph/<your ceph client keyring> ``` 2. 在 Ceph 集群中创建一个 MDS(元数据服务器)节点。这个节点将处理文件系统的元数据。可以使用以下命令创建 MDS 节点: ``` ceph-deploy mds create <mds node names> ``` 3. 创建 CephFS 文件系统。可以使用以下命令创建文件系统: ``` ceph fs new <fs name> <metadata pool name> <data pool name> ``` 其中,“fs name”是文件系统的名称,“metadata pool name”是用于存储文件系统元数据的池的名称,“data pool name”是用于存储文件数据的池的名称。 4. 挂载 CephFS 文件系统。可以使用以下命令将文件系统挂载到本地目录: ``` mount -t ceph <mon node>:<path> <mount point> -o name=<client name>,secret=<client key> ``` 其中,“mon node”是监视器节点的名称或 IP 地址,“path”是文件系统的路径,“mount point”是本地目录的路径,“client name”是用于访问文件系统的客户端名称,“client key”是用于访问文件系统的客户端密钥。 完成以上步骤后,就可以使用 CephFS 文件系统了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值