4.5. アクセス機能
このセクションでは、Ceph ユーザーまたは Ceph クライアントに付与できる、ブロックデバイス、オブジェクトストレージ、ファイルシステム、ネイティブ API などのさまざまなアクセス機能またはエンティティー機能を説明します。
さらに、クライアントにロールを割り当てるときに機能プロファイルを記述することができます。
allow, 説明-
これは、デーモンのアクセス設定の前に使用します。MDS のみの
rwを意味します r, 説明- ユーザーに 読み取り 権限を付与します。CRUSH マップを取得するためにモニターで必要です。
w, 説明- ユーザーにオブジェクトへの 書き込み 権限を付与します。
x, 説明-
クラスメソッド (読み取り および 書き込み の両方) をユーザーに呼び出し、モニターで
auth操作を実行する機能を提供します。 class-read, 説明-
クラスの読み取りメソッドを呼び出すケイパビリティーをユーザーに提供します。
xのサブセット。 class-write, 説明-
クラスの書き込みメソッドを呼び出すケイパビリティーをユーザーに提供します。
xのサブセット。 - *,
all, 説明 - ユーザーに、特定のデーモンまたはプールに対する 読み取り、書き込み、実行 権限と、管理コマンドを実行する権限を与えます。
次のエントリーは、有効な機能プロファイルを説明します。
profile osd, 説明- これは Ceph Monitor にのみ適用されます。OSD として他の OSD またはモニターに接続するためのパーミッションをユーザーに付与します。OSD がレプリケーションのハートビートトラフィックおよびステータス報告を処理できるようにするために OSD に付与されました。
profile mds, 説明- これは Ceph Monitor にのみ適用されます。MDS として他の MDS またはモニターに接続する権限をユーザーに与えます。
profile bootstrap-osd, 説明-
これは Ceph Monitor にのみ適用されます。OSD をブートストラップする権限をユーザーに与えます。
ceph-volumeやcephadmなどのデプロイメントツールに付与され、OSD のブートストラップ時にキーを追加する権限が与えられます。 profile bootstrap-mds, 説明-
これは Ceph Monitor にのみ適用されます。メタデータサーバーをブートストラップする権限をユーザーに与えます。
cephadmなどのデプロイメントツールに付与され、メタデータサーバーのブートストラップ時にキーを追加する権限が与えられます。 profile bootstrap-rbd, 説明-
これは Ceph Monitor にのみ適用されます。RBD ユーザーをブートストラップする権限をユーザーに与えます。
cephadmなどのデプロイメントツールに付与され、RBD ユーザーをブートストラップするときにキーを追加する権限が与えられます。 profile bootstrap-rbd-mirror, 説明-
これは Ceph Monitor にのみ適用されます。
rbd-mirrorデーモンユーザーをブートストラップする権限をユーザーに与えます。cephadmなどのデプロイメントツールに付与され、rbd-mirrorデーモンのブートストラップ時にキーを追加する権限が与えられます。 profile rbd, 説明-
これは、Ceph Monitor、Ceph Manager、および Ceph OSD に適用されます。RBD イメージを操作する権限をユーザーに与えます。モニターキャップとして使用すると、RBD クライアントアプリケーションに必要な最小限の権限がユーザーに提供されます。このような権限には、他のクライアントユーザーをブロックリストに登録する機能が含まれます。OSD キャップとして使用すると、RBD クライアントアプリケーションに指定されたプールへの読み取り/書き込みアクセスが提供されます。Manager のキャップは、オプションの
poolおよびnamespaceキーワード引数をサポートします。 profile rbd-mirror, 説明-
これは Ceph Monitor にのみ適用されます。RBD イメージを操作し、RBD ミラーリング設定キーのシークレットを取得する権限をユーザーに与えます。ユーザーが
rbd-mirrorデーモンを操作するために必要な最小限の権限を提供します。 profile rbd-read-only, 説明-
これは Ceph Monitor と Ceph OSDS に適用されます。ユーザーに RBD イメージに対する読み取り専用権限を与えます。Manager のキャップは、オプションの
poolおよびnamespaceキーワード引数をサポートします。 profile simple-rados-client, 説明- これは Ceph Monitor にのみ適用されます。ユーザーにモニター、OSD、PG データに対する読み取り専用権限を与えます。直接の librados クライアントアプリケーションによる使用を目的としています。
profile simple-rados-client-with-blocklist, 説明- これは Ceph Monitor にのみ適用されます。ユーザーにモニター、OSD、PG データに対する読み取り専用権限を与えます。直接の librados クライアントアプリケーションによる使用を目的としています。高可用性 (HA) アプリケーションを構築するためにブロックリストエントリーを追加する権限も含まれます。
profile fs-client, 説明- これは Ceph Monitor にのみ適用されます。ユーザーにモニター、OSD、PG、および MDS データに対する読み取り専用権限を与えます。CephFS クライアントを対象としています。
profile role-definer, 説明- これは Ceph Monitor と Auth に適用されます。ユーザーに、認証サブシステムに対する すべて の権限、モニターへの読み取り専用アクセス権を与えますが、それ以外は何も与えません。自動化ツールに役立ちます。警告: セキュリティーへの影響は重大かつ広範囲に及ぶため、実際に何をしているのかを理解していない限り、これを割り当てないでください。
profile crash, 説明-
これは Ceph Monitor と Ceph Manager に適用されます。ユーザーにモニターへの読み取り専用アクセスを与えます。後で分析するためにデーモン
crashダンプをモニターストレージにアップロードするために、マネージャークラッシュモジュールと組み合わせて使用されます。
関連情報
- 詳細は、ユーザー機能 を参照してください。
