Red Hat Summit6.2. Ceph 사용자 관리 배경
Ceph가 인증 및 권한 부여를 활성화하면 사용자 이름을 지정해야 합니다. 사용자 이름을 지정하지 않으면 Ceph에서 client.admin 관리 사용자를 기본 사용자 이름으로 사용합니다.
또는CEPH _ARGS 환경 변수를 사용하여 사용자 이름 및 시크릿을 다시 입력하지 않도록 할 수 있습니다.
Ceph 클라이언트 유형(예: 블록 장치, 오브젝트 저장소, 파일 시스템, 네이티브 API 또는 Ceph 명령줄)에 관계없이 Ceph는 모든 데이터를 풀 내의 오브젝트로 저장합니다. Ceph 사용자는 데이터를 읽고 쓰려면 풀에 액세스할 수 있어야 합니다. 또한 관리 Ceph 사용자는 Ceph의 관리 명령을 실행할 수 있는 권한이 있어야 합니다.
다음 개념은 Ceph 사용자 관리를 이해하는 데 도움이 될 수 있습니다.
스토리지 클러스터 사용자
Red Hat Ceph Storage 클러스터의 사용자는 개별 또는 애플리케이션으로 사용됩니다. 사용자를 생성하면 스토리지 클러스터, 해당 풀 및 해당 풀 내의 데이터에 액세스할 수 있는 사용자를 제어할 수 있습니다.
Ceph에는 사용자 유형의 개념이 있습니다. 사용자 관리의 목적으로 유형은 항상 클라이언트 가 됩니다. Ceph는 사용자 유형과 사용자 ID로 구성된 마침표(.)로 구분된 형식의 사용자를 식별합니다. 예를 들면 TYPE.ID,client.admin 또는 client.user1 입니다. 사용자 입력의 이유는 Ceph Monitors가 Cephx 프로토콜도 사용하지만 클라이언트가 아니기 때문입니다. 사용자 유형을 구분하면 클라이언트 사용자와 기타 사용자를 구별하는 데 도움이 되며 액세스 제어, 사용자 모니터링 및 추적 기능이 간소화됩니다.
Ceph 명령줄을 사용하면 명령줄 사용량에 따라 또는 유형 없이 사용자를 지정할 수 있으므로 Ceph의 사용자 유형이 혼동될 수 있습니다. --user 또는 --id 를 지정하는 경우 유형을 생략할 수 있습니다. 따라서 client.user1 은 user1 로서 간단히 입력할 수 있습니다. --name 또는 -n 을 지정하는 경우 type 및 name(예: client.user1 )을 지정해야 합니다. 유형 및 이름을 가능한 한 모범 사례로 사용하는 것이 좋습니다.
Red Hat Ceph Storage 클러스터 사용자는 Ceph Object Gateway 사용자와 동일하지 않습니다. 오브젝트 게이트웨이는 Red Hat Ceph Storage 클러스터 사용자를 사용하여 게이트웨이 데몬과 스토리지 클러스터 간 통신하지만 게이트웨이에는 최종 사용자를 위한 자체 사용자 관리 기능이 있습니다.
구문
DAEMON_TYPE 'allow CAPABILITY' [DAEMON_TYPE 'allow CAPABILITY']
모니터 기능: 모니터 기능에는
r,w,x,allow 프로필 CAP,rbd 등이 있습니다.예제
mon 'allow rwx` mon 'allow profile osd'
OSD 캡처: OSD 기능에는
r,w,x,class-read,class-write,프로필 osd,profile rbd,profile rbd-only가 포함됩니다. 또한 OSD 기능은 풀 및 네임스페이스 설정을 허용합니다. :구문
osd 'allow CAPABILITY' [pool=POOL_NAME] [namespace=NAMESPACE_NAME]
Ceph Object Gateway 데몬(radosgw)은 Ceph 스토리지 클러스터 클러스터 클러스터의 클라이언트이므로 Ceph 스토리지 클러스터 데몬 유형으로 표시되지 않습니다.
다음 항목에서는 각 기능을 설명합니다.
|
| 데몬의 액세스 설정 우선 순위입니다. |
|
| 사용자에게 읽기 액세스 권한을 부여합니다. CRUSH 맵을 검색하려면 모니터에 필요합니다. |
|
| 사용자에게 오브젝트에 대한 쓰기 액세스 권한을 제공합니다. |
|
|
사용자에게 클래스 메서드(즉, 읽기 및 쓰기)를 호출하고 모니터에서 |
|
|
사용자에게 클래스 읽기 메서드를 호출할 수 있는 기능을 제공합니다. |
|
|
사용자에게 클래스 쓰기 메서드를 호출할 수 있는 기능을 제공합니다. |
|
| 사용자에게 특정 데몬 또는 풀에 대한 읽기, 쓰기, 실행 권한과 admin 명령을 실행할 수 있는 기능을 제공합니다. |
|
| 사용자에게 OSD로 다른 OSD 또는 모니터에 연결할 수 있는 권한을 제공합니다. OSD에서 복제 하트비트 트래픽 및 상태 보고를 처리할 수 있도록 OSD에 대한 승인. |
|
| OSD를 부트스트랩할 때 키를 추가할 수 있는 권한이 있도록 OSD를 부트스트랩할 수 있는 권한을 사용자에게 제공합니다. |
|
| 사용자에게 Ceph 블록 장치에 대한 읽기-쓰기 액세스 권한을 부여합니다. |
|
| 사용자에게 Ceph 블록 장치에 대한 읽기 전용 액세스 권한을 부여합니다. |
pool
풀은 Ceph 클라이언트에 대한 스토리지 전략을 정의하고 해당 전략의 논리 파티션 역할을 합니다.
Ceph 배포에서는 다양한 유형의 사용 사례를 지원하는 풀을 생성하는 것이 일반적입니다. 예를 들어 클라우드 볼륨 또는 이미지, 오브젝트 스토리지, 핫 스토리지, 콜드 스토리지 등이 있습니다. Ceph를 OpenStack의 백엔드로 배포하는 경우 일반적인 배포에는 볼륨, 이미지, 백업 및 가상 머신의 풀과 client.glance,client.cinder 등과 같은 사용자가 있습니다.
네임스페이스
풀 내의 오브젝트는 풀 내의 개체의 네임스페이스-일a 논리 그룹에 연결할 수 있습니다. 사용자가 풀 내에서 읽고 쓸 수 있도록 풀에 대한 사용자의 액세스 권한을 네임스페이스와 연결할 수 있습니다. 풀 내의 네임스페이스에 작성된 오브젝트는 네임스페이스에 액세스할 수 있는 사용자만 액세스할 수 있습니다.
현재 네임스페이스는 librados 상단에 작성된 애플리케이션에만 유용합니다. 블록 장치 및 오브젝트 스토리지와 같은 Ceph 클라이언트는 현재 이 기능을 지원하지 않습니다.
네임스페이스의 논리는 풀이 OSD에 매핑되는 배치 그룹 집합을 생성하므로 사용 사례별로 데이터를 분리하는 컴퓨팅 비용이 많이 드는 방법일 수 있다는 것입니다. 여러 풀이 동일한 CRUSH 계층 구조와 규칙 세트를 사용하는 경우 로드가 증가함에 따라 OSD 성능이 저하될 수 있습니다.
예를 들어, 풀에는 OSD당 약 100개의 배치 그룹이 있어야 합니다. 따라서 1000개의 OSD가 있는 예시적 클러스터에는 하나의 풀에 대해 10,000개의 배치 그룹이 있습니다. 동일한 CRUSH 계층 구조에 매핑된 각 풀과 ruleset은 예시 클러스터에 또 다른 10,000개의 배치 그룹을 생성합니다. 반대로 네임스페이스에 오브젝트를 작성하면 네임스페이스를 별도의 풀의 계산 오버헤드와 개체 이름에 연결하면 됩니다. 사용자 또는 사용자 집합에 대해 별도의 풀을 생성하는 대신 네임스페이스를 사용할 수 있습니다.
현재 librados 를 통해서만 사용 가능합니다.
추가 리소스
- 인증 사용 구성에 대한 자세한 내용은 Red Hat Ceph Storage 구성 가이드 를 참조하십시오.
