4.5. 访问功能
本节介绍可提供给 Ceph 用户或 Ceph 客户端的不同访问或实体功能,如块设备、对象存储、文件系统和原生 API。
另外,您可以在为客户端分配角色时描述功能配置文件。
allow, 描述-
守护进程的以前访问设置。仅表示 MDS 的
rw r, 描述- 授予用户 读取访问权限。需要 monitor 来检索 CRUSH map。
w, 描述- 授予用户对对象 的写入访问权限。
x, 描述-
授予用户调用类方法的能力,即 读取和写入,以及对 monitor 执行
auth操作。 class-read, 描述-
授予用户调用类读取方法的能力。
x的子集. class-write, 描述-
授予用户调用类写入方法的能力。
x的子集. - *,
所有, 描述 - 授予用户对特定守护进程或 池的读取、写入 和 执行权限,以及执行 admin 命令的能力。
以下条目描述了有效的功能配置集:
配置集 osd, 描述- 这仅适用于 Ceph Monitor。授予用户权限以 OSD 连接到其他 OSD 或 monitor。在 OSD 上延迟,使 OSD 能够处理复制心跳流量和状态报告。
配置集 mds, 描述- 这仅适用于 Ceph Monitor。授予用户权限以 MDS 连接到其他 MDS 或 monitor。
配置集 bootstrap-osd, 描述-
这仅适用于 Ceph Monitor。授予用户权限来引导 OSD。对部署工具(如
ceph-volume和cephadm)进行限制,以便在引导 OSD 时具有添加密钥的权限。 配置集 bootstrap-mds, 描述-
这仅适用于 Ceph Monitor。授予用户引导元数据服务器的权限。对部署工具(如
cephadm)进行限制,以便在引导元数据服务器时具有添加密钥的权限。 配置集 bootstrap-rbd, 描述-
这仅适用于 Ceph Monitor。授予用户权限来引导 RBD 用户。对部署工具(如
cephadm)进行限制,以便在引导 RBD 用户时具有添加密钥的权限。 配置集 bootstrap-rbd-mirror, 描述-
这仅适用于 Ceph Monitor。授予用户引导
rbd-mirror守护进程用户的用户权限。对部署工具(如cephadm)进行限制,以便在引导rbd-mirror守护进程时具有添加密钥的权限。 profile rbd, 描述-
这适用于 Ceph Monitor、Ceph Manager 和 Ceph OSD。授予用户权限来操作 RBD 镜像。当用作 monitor 上限时,它为用户提供 RBD 客户端应用所需的最小特权;此类特权包括能够阻止其他客户端用户。当用作 OSD 上限时,它提供对指定池的读写访问权限的 RBD 客户端应用程序。Manager cap 支持可选
pool和namespace关键字参数。 profile rbd-mirror, 描述-
这仅适用于 Ceph Monitor。授予用户权限来操作 RBD 镜像并检索 RBD 镜像 config-key secret。它提供了操作
rbd-mirror守护进程所需的最少特权。 profile rbd-read-only, 描述-
这适用于 Ceph 监控器和 Ceph OSD。授予用户对 RBD 镜像的只读权限。Manager cap 支持可选
pool和namespace关键字参数。 profile simple-rados-client, 描述- 这仅适用于 Ceph Monitor。授予用户监控、OSD 和 PG 数据的只读权限。用于直接 librados 客户端应用程序使用。
profile simple-rados-client-with-blocklist, 描述- 这仅适用于 Ceph Monitor。授予用户监控、OSD 和 PG 数据的只读权限。用于直接 librados 客户端应用程序使用。另外,还包括添加块列表条目的权限,以构建高可用性(HA)应用程序。
profile fs-client, 描述- 这仅适用于 Ceph Monitor。授予用户对监控、OSD、PG 和 MDS 数据的只读权限。用于 CephFS 客户端。
配置集 role-definer, 描述- 这适用于 Ceph 监控器和 Auth。授予用户 auth 子系统的所有权限、对 monitor 的只读权限,而不授予任何其他权限。对于自动化工具非常有用。警告:除非自己真正知道您要做的操作,否则不要分配此内容,因为安全状态比较显著且有很大程度。
配置集崩溃, 描述-
这适用于 Ceph 监控器和 Ceph 管理器。授予用户对 monitor 的只读访问权限。与管理器 crash 模块一起使用,将守护进程
崩溃转储上传到监控存储中,以便稍后进行分析。
其它资源
- 如需了解更多详细信息,请参阅 用户 capabilities_。
