Red Hat Summit7.7. エンドユーザークライアントに共有アクセスを許可する
ユーザーがファイル共有からデータの読み取りと書き込みを可能にするように、エンドユーザークライアントにファイル共有へのアクセス権限を付与する必要があります。
インスタンスの IP アドレスを使用して、クライアントコンピューティングインスタンスに NFS 共有へのアクセスを許可します。CIFS 共有の user ルールと CephFS 共有の cephx ルールは同様のパターンに従います。user および cephx アクセスタイプでは、必要に応じて、複数のクライアントで同じ clientidentifier を使用できます。
コンピュートインスタンス等のクライアントにファイル共有をマウントする前に、以下のようなコマンドを使用して、クライアントがファイル共有にアクセスできるようにする必要があります。
manila access-allow <share> <accesstype> \ --access-level <accesslevel> <clientidentifier>
$ manila access-allow <share> <accesstype> \
--access-level <accesslevel> <clientidentifier>以下の値を置き換えます。
-
share: 「NFS、CephFS、または CIFS 共有の作成」 で説明されているように、作成された共有の共有名または ID。 accesstype: ファイル共有で要求されるアクセスの種別。以下に種別の例を示します。-
user: ユーザーまたはグループ名で認証する場合に使用します。 -
ip: IP アドレスでインスタンスを認証する場合に使用します。 cephx: ネイティブ CephFS クライアントユーザー名による認証に使用します。注記アクセスの種別は、ファイル共有のプロトコルにより異なります。CIFS の場合、
userを使用できます。NFS 共有の場合、ipを使用する必要があります。ネイティブ CephFS ファイル共有の場合は、cephxを使用する必要があります。
-
accesslevel: 任意。デフォルトはrwです。-
rw: ファイル共有への読み取り/書き込みアクセスが許可されます。 -
ro: ファイル共有への読み取りアクセスのみが許可されます。
-
clientidentifier:accesstypeによって異なります。-
ipaccesstypeのための IP アドレスを使用してください。 -
useraccesstypeには CIFS ユーザーまたはグループを使用します。 -
cephxaccesstypeにユーザー名文字列を使用します。
-
7.7.1. NFS 共有へのアクセスの許可
クラウドユーザーは、IP アドレスを通じて NFS 共有へのアクセスを提供できます。
IPv4 または IPv6 アドレスでは次の手順を使用できます。
手順
ファイル共有をマウントする予定のクライアントコンピュートインスタンスの IP アドレスを取得します。共有に到達できるネットワークに対応する IP アドレスを選択してください。以下の例では、StorageNFS ネットワークの IP アドレスを使用します。
openstack server list -f yaml manila access-allow <share> ip 198.51.100.160
$ openstack server list -f yaml - Flavor: m1.micro ID: 0b878c11-e791-434b-ab63-274ecfc957e8 Image: manila-test Name: demo-instance0 Networks: demo-network=198.51.100.4, 10.0.0.53; StorageNFS=198.51.100.160 Status: ACTIVE $ manila access-allow <share> ip 198.51.100.160Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記共有へのアクセスには、独自の ID
accessidがあります。+-----------------+---------------------------------------+ | Property | Value | +-----------------+---------------------------------------+ | access_key | None | share_id | db3bedd8-bc82-4100-a65d-53ec51b5cba3 | created_at | 2018-09-17T21:57:42.000000 | updated_at | None | access_type | ip | access_to | 198.51.100.160 | access_level | rw | state | queued_to_apply | id | 875c6251-c17e-4c45-8516-fe0928004fff +-----------------+---------------------------------------+
+-----------------+---------------------------------------+ | Property | Value | +-----------------+---------------------------------------+ | access_key | None | share_id | db3bedd8-bc82-4100-a65d-53ec51b5cba3 | created_at | 2018-09-17T21:57:42.000000 | updated_at | None | access_type | ip | access_to | 198.51.100.160 | access_level | rw | state | queued_to_apply | id | 875c6251-c17e-4c45-8516-fe0928004fff +-----------------+---------------------------------------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
アクセス設定が正常に完了したことを確認します。
manila access-list <share>
$ manila access-list <share> +--------------+-------------+--------------+--------------+--------+ ... | id | access_type | access_to | access_level | state | ... +--------------+-------------+--------------+--------------+--------+ | 875c6251-... | ip | 198.51.100.160 | rw | active | ... +--------------+------------+--------------+--------------+---------+ ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.2. ネイティブ CephFS 共有へのアクセスの許可
クラウドユーザーは、Ceph クライアントユーザー名を通じてネイティブ CephFS 共有へのアクセスを提供できます。Shared File Systems サービス (manila) では、既存の Ceph ユーザーを使用できないため、固有の Ceph クライアントユーザー名を作成する必要があります。
共有をマウントするには、Ceph クライアントのユーザー名とアクセスキーが必要です。アクセスキーは、Shared File Systems サービス API を使用して取得できます。デフォルトでは、アクセスキーはプロジェクト namespace 内のすべてのユーザーに表示されます。同じユーザーに、プロジェクト namespace 内の別々の共有へのアクセスを許可できます。その後、ユーザーはクライアントマシンで CephFS カーネルクライアントを使用して共有にアクセスできます。
ネイティブの CephFS ドライバーは、信頼できるクライアントでのみ使用してください。ネイティブ CephFS バックエンドセキュリティーの詳細は、director と共に Red Hat Ceph Storage および Red Hat OpenStack Platform をデプロイする の ネイティブ CephFS バックエンドのセキュリティー を参照してください。
手順
ユーザーにネイティブ CephFS 共有へのアクセスを許可します。
manila access-allow <share> cephx <user>
$ manila access-allow <share> cephx <user>Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
<share>は、共有名または共有 ID に置き換えます。 -
<user>を cephx ユーザーに置き換えます。
-
ユーザーのアクセスキーを収集します。
manila access-list <share>
$ manila access-list <share>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.3. CIFS 共有へのアクセスの許可
クラウドユーザーは、Active Directory サービスに存在するユーザー名を通じて CIFS 共有へのアクセスを許可します。Shared File Systems サービス (manila) は、Active Directory サーバー上に新しいユーザーを作成しません。セキュリティーサービスを通じてユーザー名のみが検証され、無効なユーザー名を含むアクセスルールは error ステータスになります。
クラウド管理者が driver_handles_share_servers パラメーター (DHSS) の値を true に設定した場合、クラウドユーザーはセキュリティーサービスを追加して Active Directory サービスを設定します。クラウド管理者が DHSS パラメーターの値を false に設定した場合、クラウド管理者は Active Directory サービスを設定し、それをストレージネットワークに関連付けます。
共有をマウントするには、ユーザーの Active Directory ユーザー名とパスワードを指定する必要があります。このパスワードは、Shared File Systems サービスを通じて取得することはできません。
手順
ユーザーに CIFS 共有へのアクセスを許可します。
manila access-allow <share> user <user>
$ manila access-allow <share> user <user>Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
<share>は、共有名または共有 ID に置き換えます。 -
<user>を Active Directory ユーザーに対応するユーザー名に置き換えます。
-
7.7.4. ファイル共有へのアクセスの取り消し
ファイル共有の所有者は、何らかの理由でファイル共有へのアクセスを無効にすることができます。以前に共有に付与されたアクセスを取り消すには、次の手順を実行します。
手順
ファイル共有へのアクセスを取り消します。
manila access-deny <share> <access-id>
$ manila access-deny <share> <access-id>Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
<share>は、共有名または共有 ID に置き換えます。 <access-id>を共有のアクセス ID に置き換えます。以下に例を示します。
manila access-list share-01 manila access-deny share-01 875c6251-c17e-4c45-8516-fe0928004fff manila access-list share-01
$ manila access-list share-01 +--------------+-------------+--------------+--------------+--------+ | id | access_type | access_to | access_level | state | ... +--------------+-------------+--------------+--------------+--------+ ... | 875c6251-... | ip | 198.51.100.160 | rw | active | ... +--------------+-------------+--------------+--------------+--------+ $ manila access-deny share-01 875c6251-c17e-4c45-8516-fe0928004fff $ manila access-list share-01 +--------------+------------+--------------+--------------+--------+ ... | id | access_type| access_to | access_level | state | ... +--------------+------------+--------------+--------------+--------+ ... +--------------+------------+--------------+--------------+--------+ ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
読み取り/書き込み権限を持つ既存のクライアントがあり、クライアントに読み取り専用の権限を付与する場合は、ファイル共有へのアクセスを無効にし、読み取り専用のルールを追加する必要があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}