6장. Ceph 사용자 관리


스토리지 관리자는 인증을 제공하고 Red Hat Ceph Storage 클러스터의 오브젝트에 대한 액세스 제어를 제공하여 Ceph 사용자 기반을 관리할 수 있습니다.

OSD 상태
중요

Cephadm은 클라이언트가 Cephadm 범위 내에 있는 한 Red Hat Ceph Storage 클러스터의 클라이언트 인증 키를 관리합니다. 문제 해결이 없는 경우 사용자는 Cephadm에서 관리하는 인증 키를 수정하지 않아야 합니다.

6.1. Ceph 사용자 관리 배경

Ceph가 인증 및 권한 부여로 실행되면 사용자 이름을 지정해야 합니다. 사용자 이름을 지정하지 않으면 Ceph에서 client.admin 관리 사용자를 기본 사용자 이름으로 사용합니다.

또는 CEPH_ARGS 환경 변수를 사용하여 사용자 이름과 시크릿의 재입력을 방지할 수 있습니다.

Ceph 클라이언트 유형(예: 블록 장치, 오브젝트 저장소, 파일 시스템, 네이티브 API 또는 Ceph 명령줄)에 관계없이 모든 데이터를 풀 내에 오브젝트로 저장합니다. Ceph 사용자는 데이터를 읽고 쓰기 위해 풀에 액세스할 수 있어야 합니다. 또한 관리 Ceph 사용자에게 Ceph의 관리 명령을 실행할 수 있는 권한이 있어야 합니다.

다음 개념은 Ceph 사용자 관리를 이해하는 데 도움이 될 수 있습니다.

스토리지 클러스터 사용자

Red Hat Ceph Storage 클러스터의 사용자는 개인 또는 애플리케이션입니다. 사용자를 생성하면 스토리지 클러스터, 해당 풀 및 해당 풀 내의 데이터에 액세스할 수 있는 사용자를 제어할 수 있습니다.

Ceph에는 사용자 유형이 있습니다. 사용자 관리의 목적을 위해 유형은 항상 클라이언트 입니다. Ceph는 사용자 유형 및 사용자 ID로 구성된 사용자와 마침표(.)로 구분된 양식을 식별합니다. 예를 들어 TYPE.ID,client.admin 또는 client.user1 입니다. 사용자 입력의 이유는 Ceph Monitor와 OSD도 Cephx 프로토콜을 사용하지만 클라이언트가 아니기 때문입니다. 사용자 유형을 구분하면 클라이언트 사용자와 다른 사용자가 액세스 제어, 사용자 모니터링 및 추적 가능성을 구별하는 데 도움이 됩니다.

Ceph 명령줄을 사용하면 명령줄 사용에 따라 유형을 포함하거나 포함하지 않고 Ceph의 사용자 유형이 혼동되는 경우가 있습니다. --user 또는 --id 를 지정하면 유형을 생략할 수 있습니다. 따라서 client.user1user1 로 간단히 입력할 수 있습니다. --name 또는 -n 을 지정하는 경우 client.user1 과 같은 유형과 이름을 지정해야 합니다. 가능한 경우 유형 및 이름을 모범 사례로 사용하는 것이 좋습니다.

참고

Red Hat Ceph Storage 클러스터 사용자는 Ceph Object Gateway 사용자와 다릅니다. 오브젝트 게이트웨이는 Red Hat Ceph Storage 클러스터 사용자를 사용하여 게이트웨이 데몬과 스토리지 클러스터 간에 통신하지만 게이트웨이에는 최종 사용자에게 고유한 사용자 관리 기능이 있습니다.

권한 부여 기능

Ceph는 "capabilities"라는 용어를 사용하여 Ceph 모니터 및 OSD의 기능을 실행하기 위해 인증된 사용자를 승인하는 방법을 설명합니다. 또한 기능은 풀 내 데이터 또는 풀 내의 네임스페이스에 대한 액세스를 제한할 수 있습니다. Ceph 관리 사용자는 사용자를 생성하거나 업데이트할 때 사용자의 기능을 설정합니다. 기능 구문은 다음과 같습니다.

구문

DAEMON_TYPE 'allow CAPABILITY' [DAEMON_TYPE 'allow CAPABILITY']

  • 모니터 능력: 모니터 기능은 r,w,x,allow profile CAP, and profile rbd.

    예제

    mon 'allow rwx`
    mon 'allow profile osd'

  • OSD Caps: OSD 기능에는 r,w,x,class-read,class-write,profile osd,profile rbd, profile rbd-read-only 가 있습니다. 또한 OSD 기능은 풀 및 네임스페이스 설정도 허용합니다.

    구문

    osd 'allow CAPABILITY' [pool=POOL_NAME] [namespace=NAMESPACE_NAME]

참고

Ceph Object Gateway 데몬(radosgw)은 Ceph 스토리지 클러스터의 클라이언트이므로 Ceph 스토리지 데몬 유형으로 표시되지 않습니다.

다음 항목에서는 각 기능을 설명합니다.

allow

데몬의 액세스 설정보다 우선합니다.

r

사용자에게 읽기 액세스 권한을 부여합니다. CRUSH 맵을 검색하는 데 모니터에 필요합니다.

w

사용자에게 오브젝트에 대한 쓰기 액세스 권한을 부여합니다.

x

사용자에게 클래스 메서드(즉, 읽기 및 쓰기)를 호출하고 모니터에서 인증 작업을 수행할 수 있는 기능을 제공합니다.

class-read

사용자에게 클래스 읽기 메서드를 호출하는 기능을 제공합니다. x 의 하위 집합입니다.

class-write

사용자에게 클래스 쓰기 메서드를 호출하는 기능을 제공합니다. x 의 하위 집합입니다.

*

사용자에게 특정 데몬 또는 풀에 대해 읽기, 쓰기, 실행 권한을 제공하고, admin 명령을 실행할 수 있습니다.

프로필 osd

OSD로 다른 OSD 또는 모니터에 연결할 수 있는 권한을 사용자에게 제공합니다. OSD에서 OSD를 통해 복제 하트비트 트래픽 및 상태 보고를 처리할 수 있습니다.

profile bootstrap-osd

OSD를 부트 스트랩할 때 키를 추가할 수 있는 권한이 있도록 OSD를 부트스트랩할 수 있는 권한을 사용자에게 제공합니다.

프로필 rbd

사용자에게 Ceph 블록 장치에 대한 읽기-쓰기 액세스 권한을 부여합니다.

rbd-read-only 프로필

사용자에게 Ceph 블록 장치에 대한 읽기 전용 액세스 권한을 부여합니다.

pool

풀은 Ceph 클라이언트의 스토리지 전략을 정의하고 해당 전략의 논리 파티션 역할을 합니다.

Ceph 배포에서 다양한 유형의 사용 사례를 지원하는 풀을 생성하는 것이 일반적입니다. 예를 들어 클라우드 볼륨 또는 이미지, 오브젝트 스토리지, 핫 스토리지, 콜드 스토리지 등이 있습니다. OpenStack의 백엔드로 Ceph를 배포할 때 일반적인 배포에는 볼륨, 이미지, 백업 및 가상 머신, client.glance,client.cinder 등과 같은 사용자를 위한 풀이 있습니다.

네임스페이스

풀 내의 개체는 네임스페이스 - 풀 내 개체의 논리 그룹에 연결할 수 있습니다. 풀에 대한 사용자의 액세스는 사용자가 네임스페이스 내에서만 읽고 쓸 수 있도록 네임스페이스와 연결할 수 있습니다. 풀 내에서 네임스페이스에 작성된 오브젝트는 네임스페이스에 액세스할 수 있는 사용자만 액세스할 수 있습니다.

참고

현재는 librados 위에 작성된 애플리케이션에만 네임스페이스가 유용합니다. 블록 장치 및 오브젝트 스토리지와 같은 Ceph 클라이언트는 현재 이 기능을 지원하지 않습니다.

네임스페이스의 논리는 각 풀이 OSD에 매핑된 배치 그룹 세트를 생성하기 때문에 풀은 사용 사례별로 데이터를 분리하는 계산적으로 비용이 많이 드는 방법일 수 있다는 것입니다. 여러 풀이 동일한 CRUSH 계층 및 규칙 세트를 사용하는 경우 로드가 증가하면 OSD 성능이 저하될 수 있습니다.

예를 들어, 풀에는 OSD당 약 100개의 배치 그룹이 있어야 합니다. 따라서 OSD가 1000개인 예시적인 클러스터에는 하나의 풀에 대해 100,000개의 배치 그룹이 있습니다. 동일한 CRUSH 계층 및 규칙 세트에 매핑된 각 풀은 예시적인 클러스터에서 또 다른 100,000개의 배치 그룹을 생성합니다. 반면, 개체를 네임스페이스에 쓰는 것은 단순히 별도의 풀의 계산 오버헤드와 네임스페이스를 개체 이름에 연결합니다. 사용자 또는 사용자 집합에 대해 별도의 풀을 생성하는 대신 네임스페이스를 사용할 수 있습니다.

참고

현재 librados 만 사용할 수 있습니다.

추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.