4.5. 访问功能
本节介绍可提供给 Ceph 用户或 Ceph 客户端的不同访问或实体功能,如块设备、对象存储、文件系统和原生 API。
另外,您可以在将角色分配给客户端时描述功能配置集。
allow, 描述-
守护进程的以前访问设置。表示只适用于 MDS 的
rw r, 描述- 授予用户 读取访问权限。需要 monitor 来检索 CRUSH map。
w, 描述- 授予用户对对象 的写入访问权限。
x, 描述-
授予用户调用类方法(即 读取和写入 )的能力,并在 monitor 上执行
auth操作。 class-read, 描述-
授予用户调用类读取方法的能力。
x的子集. class-write, 描述-
授予用户调用类写入方法的能力。
x的子集. - *,
所有, 描述 - 授予用户对特定守护进程或 池的读取 、写入和执行权限,以及执行 admin 命令的能力。
以下条目描述了有效的功能配置集:
配置集 osd, 描述- 这仅适用于 Ceph Monitor。授予用户权限以 OSD 连接到其他 OSD 或 monitor。在 OSD 上延迟,使 OSD 能够处理复制心跳流量和状态报告。
配置集 mds, 描述- 这仅适用于 Ceph Monitor。授予用户权限以 MDS 连接到其他 MDS 或 monitor。
配置集 bootstrap-osd, 描述-
这仅适用于 Ceph Monitor。授予用户引导 OSD 的权限。限制部署工具,如
ceph-volume和cephadm,以便在引导 OSD 时具有添加密钥的权限。 配置集 bootstrap-mds, 描述-
这仅适用于 Ceph Monitor。授予用户引导元数据服务器的权限。对部署工具(如
cephadm)进行故障排除,以便在引导元数据服务器时具有添加密钥的权限。 配置集 bootstrap-rbd, 描述-
这仅适用于 Ceph Monitor。授予用户引导 RBD 用户的权限。对部署工具(如
cephadm)进行故障排除,以便在引导 RBD 用户时具有添加密钥的权限。 配置集 bootstrap-rbd-mirror, 描述-
这仅适用于 Ceph Monitor。授予用户 bootstrap
rbd-mirror守护进程用户的权限。对部署工具(如cephadm)进行故障排除,以便在引导rbd-mirror守护进程时具有添加密钥的权限。 profile rbd, 描述-
这适用于 Ceph Monitor、Ceph Manager 和 Ceph OSD。授予用户操作 RBD 镜像的权限。当用作 monitor 大写时,它提供了 RBD 客户端应用所需的最小特权;此类特权包括阻止其他客户端用户的功能。当用作 OSD 上限时,它提供了一个 RBD 客户端应用,具有对指定池的读写访问权限。Manager 大写支持可选的
pool和namespace关键字参数。 profile rbd-mirror, 描述-
这仅适用于 Ceph Monitor。授予用户操作 RBD 镜像并检索 RBD 镜像 config-key secret 的权限。它提供了操作
rbd-mirror守护进程的用户所需的最小特权。 profile rbd-read-only, 描述-
这适用于 Ceph 监控器和 Ceph OSD。授予用户对 RBD 镜像的只读权限。Manager 大写支持可选的
pool和namespace关键字参数。 profile simple-rados-client, 描述- 这仅适用于 Ceph Monitor。授予用户 monitor、OSD 和 PG 数据的只读权限。供直接 librados 客户端应用使用。
profile simple-rados-client-with-blocklist, 描述- 这仅适用于 Ceph Monitor。授予用户 monitor、OSD 和 PG 数据的只读权限。供直接 librados 客户端应用使用。还包括添加 blocklist 条目以构建高可用性(HA)应用程序的权限。
配置集 fs-client, 描述- 这仅适用于 Ceph Monitor。授予用户 monitor、OSD、PG 和 MDS 数据的只读权限。适用于 CephFS 客户端。
profile role-definer, 描述- 这适用于 Ceph Monitor 和 Auth。授予用户 auth 子系统的所有权限,对 monitor 具有只读访问权限,而不授予其他任何权限。用于自动化工具。警告:除非真正知道您要做的事情,否则不要分配这一点,因为安全影响会非常大且普遍。
配置集崩溃, 描述-
这适用于 Ceph 监控器和 Ceph 管理器。授予用户对 monitor 的只读访问权限。与管理器 crash 模块一起使用,将守护进程
崩溃转储上传到监控存储中,以便稍后进行分析。
其它资源
- 如需了解更多详细信息,请参阅 用户 capabilities_。
