一起来学ceph 03.ceph 认证与授权

最新推荐文章于 2023-07-10 11:24:45 发布
最新推荐文章于 2023-07-10 11:24:45 发布
阅读量832 收藏
点赞数
分类专栏: ceph 文章标签: ceph
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangwei0928/article/details/96588950
版权

ceph 认证与授权

在这里插入图片描述

  1. 用户

• 用户是指个人或系统参与者(例如应用)
• 通过创建用户,可以控制谁(或哪个参与者)能够访问Ceph存储集群、以及可访问的存储池及存储池中的数据
• Ceph支持多种类型的用户,但可管理的用户都属于Client类型
• 区分用户类型的原因在于,MON、OSD和MDS等系统组件也使用cephx协议,但它们非为客户端
• 通过点号来分隔用户类型和用户名,格式为TYPE.ID,例如client.admin等

  1. 授权和使能

• Ceph基于“使能(caps)”来描述用户可针对MON、OSD或MDS使用的权限范围或级别
• 通用语法格式:daemon-type ‘allow caps’ […]
• MON使能
• 包括r、w、x和allow profile cap
• 例如:mon ‘allow rwx’,以及mon 'allow profile osd’等
• OSD使能
• 包括r、w、x、class-read、class-write和profile osd
• 此外,OSD 使能还允许进行存储池和名称空间设置
• MDS使能
• 只需要allow,或留空

环境

192.168.126.101 ceph01
192.168.126.102 ceph02
192.168.126.103 ceph03
192.168.126.104 ceph04
192.168.126.105 ceph-admin

192.168.48.11 ceph01
192.168.48.12 ceph02
192.168.48.13 ceph03
192.168.48.14 ceph04
192.168.48.15 ceph-admin

###所有节点内核版本要求4.5以上
uname -r
5.2.2-1.el7.elrepo.x86_64

[cephadm@ceph-admin ceph-cluster]$ ll -h
total 228K
-rw------- 1 cephadm cephadm  113 Jul 11 22:14 ceph.bootstrap-mds.keyring
-rw------- 1 cephadm cephadm  113 Jul 11 22:14 ceph.bootstrap-mgr.keyring
-rw------- 1 cephadm cephadm  113 Jul 11 22:14 ceph.bootstrap-osd.keyring
-rw------- 1 cephadm cephadm  113 Jul 11 22:14 ceph.bootstrap-rgw.keyring
-rw------- 1 cephadm cephadm  151 Jul 11 22:14 ceph.client.admin.keyring
-rw-rw-r-- 1 cephadm cephadm  309 Jul 11 22:12 ceph.conf
-rw-rw-r-- 1 cephadm cephadm 195K Jul 13 15:16 ceph-deploy-ceph.log
-rw------- 1 cephadm cephadm   73 Jul 11 22:12 ceph.mon.keyring
-rw-rw-r-- 1 cephadm cephadm   12 Jul 12 22:27 test.txt
[cephadm@ceph-admin ceph-cluster]$ ceph -s
  cluster:
    id:     8a83b874-efa4-4655-b070-704e63553839
    health: HEALTH_OK
 
  services:
    mon: 3 daemons, quorum ceph01,ceph02,ceph03 (age 92m)
    mgr: ceph04(active, since 91m), standbys: ceph03
    mds: cephfs:1 {0=ceph02=up:active}
    osd: 8 osds: 8 up (since 91m), 8 in (since 8d)
    rgw: 1 daemon active (ceph01)
 
  data:
    pools:   8 pools, 288 pgs
    objects: 214 objects, 3.6 KiB
    usage:   8.1 GiB used, 64 GiB / 72 GiB avail
    pgs:     288 active+clean

用户管理

列出用户

[cephadm@ceph-admin ceph-cluster]$ ceph auth list
installed auth entries:

mds.ceph02
	key: AQBQhSldWqSjCxAAszmXNSnEBLk2KDJhUnrqKg==
	caps: [mds] allow
	caps: [mon] allow profile mds
	caps: [osd] allow rwx
osd.0
	key: AQDVSyddhyhmGhAAKjLu8fPY0luJzIRJNEuFPA==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.1
	key: AQDnSyddw9ZZGhAAirUrxDEyw6ah9zPh2p3Fuw==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.2
	key: AQD3Sydds1f9GRAAiYHWm26xV/veZkczK94dgg==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.3
	key: AQAJTCddr3vpKxAAVVVQly0AAS+jaUwaeoSzoQ==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.4
	key: AQAbTCddpdrhCBAADu8N/cHdJc5eJ3EVDIQ33Q==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.5
	key: AQAqTCddSdYYBhAASd6v3pIxYjbZ4FZ3Yajjgg==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.6
	key: AQA7TCddPw9ZBRAAjlXoRabaoAJXxGy114lggQ==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
osd.7
	key: AQBYTCddtJPTJhAAP5Vq2UO49cSdc66SpiLSTA==
	caps: [mgr] allow profile osd
	caps: [mon] allow profile osd
	caps: [osd] allow *
client.admin
	key: AQAmRCddqQBXBBAAhA+Ob/1PFcM/1iGk79q7xg==
	caps: [mds] allow *
	caps: [mgr] allow *
	caps: [mon] allow *
	caps: [osd] allow *
client.bootstrap-mds
	key: AQAmRCddjRZXBBAAPee0p26CpiX3F4xTGd5PGg==
	caps: [mon] allow profile bootstrap-mds
client.bootstrap-mgr
	key: AQAmRCdd3iRXBBAAS7+zbbmQHB1pXydn7tkivw==
	caps: [mon] allow profile bootstrap-mgr
client.bootstrap-osd
	key: AQAmRCddjzJXBBAAhp1/mDnouOoqtQko5TvjXg==
	caps: [mon] allow profile bootstrap-osd
client.bootstrap-rbd
	key: AQAmRCddrT9XBBAAaSEbe1BQR4zNFJRCE2o+RQ==
	caps: [mon] allow profile bootstrap-rbd
client.bootstrap-rbd-mirror
	key: AQAmRCddzk9XBBAAmvA5DLhIV0iI35No1KSQBg==
	caps: [mon] allow profile bootstrap-rbd-mirror
client.bootstrap-rgw
	key: AQAmRCddcl1XBBAAoBBI/8MPevzERHax0GChNA==
	caps: [mon] allow profile bootstrap-rgw
client.rgw.ceph01
	key: AQAKgilduu/cORAAQ/Z3y1b8ESFwKHhVl0vQGA==
	caps: [mon] allow rw
	caps: [osd] allow rwx
mgr.ceph03
	key: AQAFSyddP5ZgNhAABOCkgJt35BgHgPYKF7jvAA==
	caps: [mds] allow *
	caps: [mon] allow profile mgr
	caps: [osd] allow *
mgr.ceph04
	key: AQD1Sidd4K1LDxAAsvTRaCf51WWf4gJ4y8vqUA==
	caps: [mds] allow *
	caps: [mon] allow profile mgr
	caps: [osd] allow *

添加用户

[cephadm@ceph-admin ceph-cluster]$ ceph auth add client.test  mon 'allow rw' osd 'allow rw'
added key for client.test

[cephadm@ceph-admin ceph-cluster]$ ceph auth  get client.test
exported keyring for client.test
[client.test]
	key = AQBrqTJdkRu1HxAA7iYk6Ap6ZyTuLkSLgDC0sw==
	caps mon = "allow rw"
	caps osd = "allow rw"

列出用户key

[cephadm@ceph-admin ceph-cluster]$ ceph auth print-key client.test
AQBrqTJdkRu1HxAA7iYk6Ap6ZyTuLkSLgDC0sw==

修改权限

[cephadm@ceph-admin ceph-cluster]$ ceph auth caps client.test mon 'allow *'
updated caps for client.test
[cephadm@ceph-admin ceph-cluster]$ ceph auth get client.test
exported keyring for client.test
[client.test]
	key = AQBrqTJdkRu1HxAA7iYk6Ap6ZyTuLkSLgDC0sw==
	caps mon = "allow *"

删除用户

[cephadm@ceph-admin ceph-cluster]$ ceph auth del client.test

导出用户的keyring文件

[cephadm@ceph-admin ceph-cluster]$ ceph osd pool create rbdpool 64 64
pool 'rbdpool' created
[cephadm@ceph-admin ceph-cluster]$ ceph auth get-or-create client.rbdpool mon 'allow r' osd 'allow * pool=rbdpool'
[client.rbdpool]
	key = AQAYrzJdUh5IIBAA4E13hVvtjkfnMc0JKPwbOA==

[cephadm@ceph-admin ceph-cluster]$ ceph auth  get client.rbdpool
exported keyring for client.rbdpool
[client.rbdpool]
	key = AQAYrzJdUh5IIBAA4E13hVvtjkfnMc0JKPwbOA==
	caps mon = "allow r"
	caps osd = "allow * pool=rbdpool"

[cephadm@ceph-admin ceph-cluster]$ ceph auth  get client.rbdpool -o ceph.client.rbdpool.keyring
exported keyring for client.rbdpool

合并keyring

[cephadm@ceph-admin ceph-cluster]$ ls 
ceph.bootstrap-mds.keyring  ceph.bootstrap-rgw.keyring   ceph.conf             test.txt
ceph.bootstrap-mgr.keyring  ceph.client.admin.keyring    ceph-deploy-ceph.log
ceph.bootstrap-osd.keyring  ceph.client.rbdpool.keyring  ceph.mon.keyring

[cephadm@ceph-admin ceph-cluster]$ ceph-authtool --create-keyring cluster.keying
creating cluster.keying

[cephadm@ceph-admin ceph-cluster]$ ceph-authtool cluster.keying  --import-keyring ./ceph.client.admin.keyring  
importing contents of ./ceph.client.admin.keyring into cluster.keying

[cephadm@ceph-admin ceph-cluster]$ ceph-authtool cluster.keying  --import-keyring ./ceph.client.rbdpool.keyring 
importing contents of ./ceph.client.rbdpool.keyring into cluster.keying

[cephadm@ceph-admin ceph-cluster]$ cat cluster.keying 
[client.admin]
	key = AQAmRCddqQBXBBAAhA+Ob/1PFcM/1iGk79q7xg==
	caps mds = "allow *"
	caps mgr = "allow *"
	caps mon = "allow *"
	caps osd = "allow *"
[client.rbdpool]
	key = AQAYrzJdUh5IIBAA4E13hVvtjkfnMc0JKPwbOA==
	caps mon = "allow r"
	caps osd = "allow * pool=rbdpool"

[cephadm@ceph-admin ceph-cluster]$ ceph-authtool -l cluster.keying 
[client.admin]
	key = AQAmRCddqQBXBBAAhA+Ob/1PFcM/1iGk79q7xg==
	caps mds = "allow *"
	caps mgr = "allow *"
	caps mon = "allow *"
	caps osd = "allow *"
[client.rbdpool]
	key = AQAYrzJdUh5IIBAA4E13hVvtjkfnMc0JKPwbOA==
	caps mon = "allow r"
	caps osd = "allow * pool=rbdpool"
隔壁小翔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ceph 的用户管理与认证
烟云的计算
04-29 4770
目录 文章目录目录前言Ceph 的用户管理用户管理常规操作CephX 认证系统身份认证原理使用 ceph-authtool 进行密钥环管理 前言 常规的身份认证系统无非三点: 账户 角色权限 认证鉴权 本篇也从这三个角度来解析 Ceph 的用户管理与认证Ceph 的用户管理 Ceph 的用户可以是一个具体的人或系统角色(e.g. 应用程序),Ceph 管理员通过创建用户并设置权限来控制谁...
ceph——认证——2
w007d的专栏
02-23 225
第二阶段mon处理: mon处理完成后再次返回CEPH_MSG_AUTH_REPLY消息给monc,monc处理如下:
Ceph认证授权
因上努力,果上随缘。但行好事,莫问前程。
07-01 1461
目录1. Ceph授权1.1 Ceph认证流程1.2 Ceph认证机制1.3 Ceph常用权限说明1.4 Ceph授权操作1.4.1 授权的基本语法规则1.4.2 常用的授权语法1.4.3 ceph用户命令规范1.4.4 添加用户1.4.5 用户密钥的导入导出1.4.6 用户的查询与删除1.4.7 修改用户权限1.5 推送用户至客户端1.6 通过命令行使用用户1.7 认证练习(管理ceph认证ceph用caps来描述给予用户的的权限来使用mon和osd/mds,caps用来限制对某一个存储池的数据或
cephx认证授权
梵修
03-12 584
认证过程中,mon节点会返回用于身份认证的数据结构,其中包括获取ceph服务时用到的session-key,session-key通过客户端密钥进行加密传输,而密钥是客户端提前配置好的,保存在客户端的keyring文件中。所有对于ceph的访问请求都要经过cephx认证ceph默认已经开启了cephx认证,也可以在mon节点关闭cephx认证,但是关闭认证后任何访问都将被允许,因此无法保证数据的安全性。ceph客户端提交的数据最终都存储在pool中,因此ceph用户需要拥有存储池的访问权限才能读写数据。
云原生--ceph用户认证
weixin_58519482的博客
07-10 651
ceph使用cephx协议对客户端进行身份认证cephx用于对ceph保存的数据进行认证访问和授权,用于对访问ceph的请求进行认证授权检测,于mon通信的请求都要经过ceph认证通过,但是也可以在mon节点关闭cephx认证,但是关闭认证之后任何访问都将被允许,因此无法保证数据的安全性。
ceph3--认证机制/存储池相关操作/dashboard/
weixin_44515412的博客
09-15 847
Day3作业: 1.ceph rgw的使用 创建user 创建bucket 上传数据 2.ceph dashboard和监控 3.dokcer 基础 版本信息 安装 存储引擎 镜像和基本命令
ceph 身份验证和授权
weixin_33881753的博客
10-12 800
2019独角兽企业重金招聘Python工程师标准>>> ...
ceph 14.2.22 rpm离线源
07-28
3. **配置Yum/Dnf**:在目标机器上,你需要编辑`/etc/yum.repos.d/ceph.repo`(或者根据实际系统创建新的repo文件),添加以下内容,指向你的离线源路径: ``` [ceph] name=Ceph 14.2.22 RPMs baseurl=file:///...
分布式存储系统ceph-14.2.10-手动部署手册
11-19
Ceph 是一个开源的分布式存储系统,提供高可用性、可扩展性和高性能的存储解决方案。本手册将指导您完成 Ceph 的手动部署和使用。 Ceph 概述 Ceph 是一个开源的分布式存储系统,由 Sage Weil、.Scott Brandt 和 ...
kylin v10编译ceph 15.2.17的依赖包
08-15
2. 获取源代码:从Ceph的官方仓库克隆或下载源代码,例如使用`git clone https://github.com/ceph/ceph.git`。 3. 配置编译选项:在源代码目录下运行`./autogen.sh`和`./configure`。这里可以指定安装路径、编译...
Ceph Cookbook.pdf & Learning Ceph.pdf
12-21
Ceph 是一个开源的分布式存储系统,用于提供对象存储、块存储和文件系统服务。它设计的目标是高可用性、可扩展性和数据安全性。这两本书,“Ceph Cookbook”和“Learning Ceph”,都是深入理解并掌握Ceph技术的重要...
ceph2.tar.gz
09-07
ceph 14.2.1新版本下载
CEPH配置——4.认证配置
AK48的专栏
11-04 5964
为了识别用户,并防止人在中间攻击, Ceph提供cephx的认证系统进行身份验证和守护。 可以看一下“Ceph介绍到cephx认证的身份验证和授权”。启用/禁用,创建用户并设置用户功能的细节上见Cephx指南。 ENABLE/DISABLE AUTHENTICATION 根据版本的不同, Ceph的启用或禁用身份验证默认情况下。使用以下设置明确启用或禁用Ceph 。更多详细信息,请参阅Ceph
ceph——认证——1
w007d的专栏
02-23 402
当链接建立或者链接异常断开后重新建立时,需要首先执行认证流程。认证流程入口如下: 认证分为三个阶段。 第一阶段首先MONC发送CEPH_MSG_AUTH到MON MON收到该消息之后处理如下 mon处理完成后需要给MONC返回一个CEPH_MSG_AUTH_REPLY消息,MONC收到该消息后处理如下: ...
Ceph:关于 Ceph 用户认证授权管理的一些笔记
山河已无恙
06-27 805
准备考试,整理 Ceph 相关笔记博文内容涉及, Ceph 用户管理,认证管理,权限管理 以及相关 Demo理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》Ceph使用cephx协议对集群中客户端、应用程序和守护进程之间的通信进行授权cephx协议基于共享密钥在 Ceph 的安装过程默认启用cephx。
【浅谈】Lava将为现有的存储方案提供新的模式
基于容量证明(Proof-of-Capacity, PoC)的数字加密基础设施
09-17 557
-2020年的第260天- 文章来源:LAVA(中国) 官网:http://lavatech.org/ Lava近期正在推...
cephcephfs caps简介
bandaoyu的note
06-22 544
目录CAPS基础基本概念CAPS种类CAPS PERMISSION种类CAPS COMBINATIONPINAUTH、LINK、XATTRFILECAPS管理LOCKCAPS如何变更CAPS相关告警总结CAPS代码相关CAPS数据表示和规则FUSE WRITE实例参考链接caps是mds授予client对文件进行操作的许可证,当一个client想要对文件元数据进行变更时,比如读、写、修改权限等等操作,它都必须先获取到相应的caps才可以进行这些操作。 ceph对caps的划分粒度很细,且允许多个client
cephfs caps简介
jiang4357291的博客
12-27 3075
本文主要是对Gregory Farnum关于cephfs caps介绍的简单总结,主要介绍caps的基本设计,更深入的的如lock相关代码没有涉及。 文章目录caps基础基本概念caps种类caps permission种类caps combinationpinAuth、Link、XattrFilecaps管理lockcaps如何变更caps相关告警总结caps代码相关caps数据表示和规则f...
起来ceph 01.ceph nautilus版 安装
隔壁小翔
07-11 3853
ceph install 环境准备 双网卡 双硬盘 hosts 192.168.126.101 ceph01 192.168.126.102 ceph02 192.168.126.103 ceph03 192.168.126.104 ceph04 192.168.126.105 ceph-admin 192.168.48.11 ceph01 192.168.48.12 ceph02 192....
ceph 16.2.15
最新发布
05-10
Ceph是一个分布式存储系统,可以提供高可靠性、高性能和高可扩展性。它是一个开源项目,基于RADOS(可扩展的对象存储系统)提供了对象、块和文件存储,同时还提供了RADOS Gateway,可以通过RESTful接口进行访问。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值