4.4. 使用 S3 协议在旧应用程序与云原生应用程序间共享

许多传统应用程序会使用文件系统共享数据集。您可以使用 S3 操作访问和共享文件系统中的传统数据。要共享您需要的数据，请执行以下操作：

导出预先存在的文件系统数据集，即 RWX 卷，如 Ceph FileSystem(CephFS)，或使用 S3 协议创建新的文件系统数据集。
从文件系统和 S3 协议访问文件系统数据集。
配置 S3 帐户，并将它们映射到现有文件系统唯一标识符(UID)和组标识符(GID)。

4.4.1. 创建 NamespaceStore 来使用文件系统
复制链接

先决条件

安装了带有 OpenShift Data Foundation operator 的 OpenShift Container Platform。
访问多云对象网关(MCG)。

流程

登录 OpenShift Web 控制台。
点 Storage Data Foundation。
点 NamespaceStore 标签来创建在命名空间存储桶中使用的 NamespaceStore 资源。
点 Create namespacestore。
为 NamespaceStore 输入一个名称。
选择 Filesystem 作为供应商。
选择持久性卷声明。
输入文件夹名称。
如果文件夹名称已存在，则该文件夹会用于创建 NamespaceStore，如果不存在则创建新的文件夹。
点 Create。
验证 NamespaceStore 是否处于 Ready 状态。

4.4.2. 使用 NamespaceStore 文件系统配置创建帐户
复制链接

您可以使用 NamespaceStore 文件系统配置创建新帐户，或通过编辑 YAML 将现有的普通帐户转换为 NamespaceStore 文件系统帐户。

注意

您无法从帐户中删除 NamespaceStore 文件系统配置。

先决条件

下载 Multicloud 对象网关 (MCG) 命令行界面：

subscription-manager repos --enable=rh-odf-4-for-rhel-8-x86_64-rpms
yum install mcg

# subscription-manager repos --enable=rh-odf-4-for-rhel-8-x86_64-rpms
# yum install mcg

Copy to Clipboard

Toggle word wrap

流程

使用 MCG 命令行界面使用 NamespaceStore 文件系统配置创建新帐户。

noobaa account create <noobaa-account-name> [flags]

$ noobaa account create <noobaa-account-name> [flags]

Copy to Clipboard

Toggle word wrap

例如：

noobaa account create testaccount --nsfs_account_config --gid 10001 --uid 10001 –default_resource fs_namespacestore

$ noobaa account create testaccount --nsfs_account_config --gid 10001 --uid 10001 –default_resource fs_namespacestore

Copy to Clipboard

Toggle word wrap

`allow_bucket_create`	指明是否允许帐户创建新存储桶。支持的值是 `true` 或 `false`。默认值为 `true`。
`default_resource`	使用 S3 CreateBucket 操作时，将在其上创建新的存储桶的 NamespaceStore 资源。NamespaceStore 必须使用 RWX(ReadWriteMany)持久性卷声明(PVC)支持。
`new_buckets_path`	创建与新 bucket 对应的目录的文件系统路径。该路径位于 NamespaceStore 文件系统 PVC 中，其中创建新目录充当新创建的对象存储桶类的文件系统映射。
`nsfs_account_config`	指示该帐户是否用于 NamespaceStore 文件系统的必需字段。
`nsfs_only`	指明帐户是否仅用于 NamespaceStore 文件系统。支持的值是 true 或 `false`。默认值为 `false`。如果设为 'true'，则会限制您访问其他类型的存储桶。
`uid`	MCG 帐户要映射到的文件系统 ID，用于访问和管理文件系统中的数据
`gid`	MCG 帐户要映射到的文件系统的组 ID，用于访问和管理文件系统中的数据

MCG 系统使用帐户配置及其 S3 凭证发送响应：

NooBaaAccount spec:

# NooBaaAccount spec:
allow_bucket_creation: true
default_resource: noobaa-default-namespace-store
Nsfs_account_config:
  gid: 10001
  new_buckets_path: /
  nsfs_only: true
  uid: 10001
INFO[0006] ✅ Exists: Secret "noobaa-account-testaccount"
Connection info:
  AWS_ACCESS_KEY_ID      : <aws-access-key-id>
  AWS_SECRET_ACCESS_KEY  : <aws-secret-access-key>

Copy to Clipboard

Toggle word wrap

您可以使用以下命令列出所有基于自定义资源定义(CRD)的帐户：

noobaa account list

$ noobaa account list
NAME          DEFAULT_RESOURCE               PHASE   AGE
testaccount   noobaa-default-backing-store   Ready   1m17s

Copy to Clipboard

Toggle word wrap

如果您对特定帐户感兴趣，您可以直接读取其自定义资源定义(CRD)：

oc get noobaaaccount/testaccount -o yaml

$ oc get noobaaaccount/testaccount -o yaml
spec:
  allow_bucket_creation: true
  default_resource: noobaa-default-namespace-store
  nsfs_account_config:
    gid: 10001
    new_buckets_path: /
    nsfs_only: true
    uid: 10001

Copy to Clipboard

Toggle word wrap

4.4.3. 从 openshift-storage 命名空间中访问旧的应用程序数据
复制链接

当使用 Multicloud Object Gateway(MCG)NamespaceStore 文件系统(NSFS)功能时，您需要具有数据位于 openshift-storage 命名空间中的 PVC。几乎在所有情形中，您需要访问的数据不在 openshift-storage 命名空间中，而是位于传统应用程序使用的命名空间中。

要访问存储在另一个命名空间中的数据，您需要在 openshift-storage 命名空间中创建一个指向传统应用使用的同一 CephFS 卷的 PVC。

流程

使用 scc 显示应用程序命名空间：

oc get ns <application_namespace> -o yaml | grep scc

$ oc get ns <application_namespace> -o yaml | grep scc

Copy to Clipboard

Toggle word wrap

<application_namespace>

指定应用程序命名空间的名称。

例如：

oc get ns testnamespace -o yaml | grep scc

$ oc get ns testnamespace -o yaml | grep scc

openshift.io/sa.scc.mcs: s0:c26,c5
openshift.io/sa.scc.supplemental-groups: 1000660000/10000
openshift.io/sa.scc.uid-range: 1000660000/10000

Copy to Clipboard

Toggle word wrap

进入应用程序命名空间：
```
oc project <application_namespace>
```
```
$ oc project <application_namespace>
```
Copy to Clipboard Toggle word wrap
例如：
```
oc project testnamespace
```
```
$ oc project testnamespace
```
Copy to Clipboard Toggle word wrap

确保 ReadWriteMany(RWX) PVC 挂载到您要使用 MCG NSFS 功能从 noobaa S3 端点使用的 pod 上：

oc get pvc

$ oc get pvc

NAME                                               STATUS VOLUME
CAPACITY ACCESS MODES STORAGECLASS              AGE
cephfs-write-workload-generator-no-cache-pv-claim  Bound  pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a
10Gi     RWX          ocs-storagecluster-cephfs 12s

Copy to Clipboard

Toggle word wrap

oc get pod

$ oc get pod

NAME                                                READY   STATUS              RESTARTS   AGE
cephfs-write-workload-generator-no-cache-1-cv892    1/1     Running             0          11s

Copy to Clipboard

Toggle word wrap

检查 pod 中的持久性卷(PV)的挂载点。

从 pod 获取 PV 的卷名称：

oc get pods <pod_name> -o jsonpath='{.spec.volumes[]}'

$ oc get pods <pod_name> -o jsonpath='{.spec.volumes[]}'

Copy to Clipboard

Toggle word wrap

<pod_name>

指定 pod 的名称。

例如：

oc get pods cephfs-write-workload-generator-no-cache-1-cv892 -o jsonpath='{.spec.volumes[]}'

$ oc get pods cephfs-write-workload-generator-no-cache-1-cv892 -o jsonpath='{.spec.volumes[]}'

{"name":"app-persistent-storage","persistentVolumeClaim":{"claimName":"cephfs-write-workload-generator-no-cache-pv-claim"}}

Copy to Clipboard

Toggle word wrap

在本例中，PVC 的卷名称为 cephfs-write-workload-generator-no-cache-pv-claim。

列出 pod 中的所有挂载，并检查您在上一步中标识的卷的挂载点：

oc get pods <pod_name> -o jsonpath='{.spec.containers[].volumeMounts}'

$ oc get pods <pod_name> -o jsonpath='{.spec.containers[].volumeMounts}'

Copy to Clipboard

Toggle word wrap

例如：

oc get pods cephfs-write-workload-generator-no-cache-1-cv892 -o jsonpath='{.spec.containers[].volumeMounts}'

$ oc get pods cephfs-write-workload-generator-no-cache-1-cv892 -o jsonpath='{.spec.containers[].volumeMounts}'

[{"mountPath":"/mnt/pv","name":"app-persistent-storage"},{"mountPath":"/var/run/secrets/kubernetes.io/serviceaccount","name":"kube-api-access-8tnc5","readOnly":true}]

Copy to Clipboard

Toggle word wrap

确认 pod 中的 RWX PV 的挂载点：

oc exec -it <pod_name> -- df <mount_path>

$ oc exec -it <pod_name> -- df <mount_path>

Copy to Clipboard

Toggle word wrap

<mount_path>

指定您在上一步中标识的挂载点的路径。

例如：

oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- df /mnt/pv

$ oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- df /mnt/pv

main
Filesystem
1K-blocks Used Available  Use%  Mounted on
172.30.202.87:6789,172.30.120.254:6789,172.30.77.247:6789:/volumes/csi/csi-vol-cc416d9e-dbf3-11ec-b286-0a580a810213/edcfe4d5-bdcb-4b8e-8824-8a03ad94d67c
10485760  0    10485760   0%    /mnt/pv

Copy to Clipboard

Toggle word wrap

确保 UID 和 SELinux 标签与旧命名空间使用的标签相同：

oc exec -it <pod_name> -- ls -latrZ <mount_path>

$ oc exec -it <pod_name> -- ls -latrZ <mount_path>

Copy to Clipboard

Toggle word wrap

例如：

oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- ls -latrZ /mnt/pv/

$ oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- ls -latrZ /mnt/pv/

total 567
drwxrwxrwx. 3 root       root system_u:object_r:container_file_t:s0:c26,c5      2 May 25 06:35 .
-rw-r--r--. 1 1000660000 root system_u:object_r:container_file_t:s0:c26,c5 580138 May 25 06:35 fs_write_cephfs-write-workload-generator-no-cache-1-cv892-data.log
drwxrwxrwx. 3 root       root system_u:object_r:container_file_t:s0:c26,c5     30 May 25 06:35 ..

Copy to Clipboard

Toggle word wrap

获取您要从 openshift-storage 命名空间访问的旧应用程序 RWX PV 的信息：

oc get pv | grep <pv_name>

$ oc get pv | grep <pv_name>

Copy to Clipboard

Toggle word wrap

<pv_name>

指定 PV 的名称。

例如：

oc get pv | grep pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a

$ oc get pv | grep pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a

pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a   10Gi       RWX            Delete           Bound    testnamespace/cephfs-write-workload-generator-no-cache-pv-claim   ocs-storagecluster-cephfs              47s

Copy to Clipboard

Toggle word wrap

确保来自 openshift-storage 命名空间中的 PVC 可以被访问，以便一个或多个 noobaa-endpoint pod 可以访问 PVC。

从 volumeAttributes 找到 subvolumePath 和 volumeHandle 的值。您可以从传统应用程序 PV 的 YAML 描述中获取这些值：

oc get pv <pv_name> -o yaml

$ oc get pv <pv_name> -o yaml

Copy to Clipboard

Toggle word wrap

例如：

oc get pv pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a -o yaml

$ oc get pv pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a -o yaml

apiVersion: v1
kind: PersistentVolume
metadata:
  annotations:
    pv.kubernetes.io/provisioned-by: openshift-storage.cephfs.csi.ceph.com
  creationTimestamp: "2022-05-25T06:27:49Z"
  finalizers:
  - kubernetes.io/pv-protection
  name: pvc-aa58fb91-c3d2-475b-bbee-68452a613e1a
  resourceVersion: "177458"
  uid: 683fa87b-5192-4ccf-af2f-68c6bcf8f500
spec:
  accessModes:
  - ReadWriteMany
  capacity:
    storage: 10Gi
  claimRef:
    apiVersion: v1
    kind: PersistentVolumeClaim
    name: cephfs-write-workload-generator-no-cache-pv-claim
    namespace: testnamespace
    resourceVersion: "177453"
    uid: aa58fb91-c3d2-475b-bbee-68452a613e1a
  csi:
    controllerExpandSecretRef:
      name: rook-csi-cephfs-provisioner
      namespace: openshift-storage
    driver: openshift-storage.cephfs.csi.ceph.com
    nodeStageSecretRef:
      name: rook-csi-cephfs-node
      namespace: openshift-storage
    volumeAttributes:
      clusterID: openshift-storage
      fsName: ocs-storagecluster-cephfilesystem
      storage.kubernetes.io/csiProvisionerIdentity: 1653458225664-8081-openshift-storage.cephfs.csi.ceph.com
      subvolumeName: csi-vol-cc416d9e-dbf3-11ec-b286-0a580a810213
      subvolumePath: /volumes/csi/csi-vol-cc416d9e-dbf3-11ec-b286-0a580a810213/edcfe4d5-bdcb-4b8e-8824-8a03ad94d67c
    volumeHandle: 0001-0011-openshift-storage-0000000000000001-cc416d9e-dbf3-11ec-b286-0a580a810213
  persistentVolumeReclaimPolicy: Delete
  storageClassName: ocs-storagecluster-cephfs
  volumeMode: Filesystem
status:
  phase: Bound

Copy to Clipboard

Toggle word wrap

使用您在上一步中确定的 subvolumePath 和 volumeHandle 值在 openshift-storage 命名空间中创建一个新的 PV 和 PVC 对象，指向与旧应用程序 PV 相同的 CephFS 卷：

YAML 文件示例 ：

cat << EOF >> pv-openshift-storage.yaml
apiVersion: v1
kind: PersistentVolume
metadata:
  name: cephfs-pv-legacy-openshift-storage
spec:
  storageClassName: ""
  accessModes:
  - ReadWriteMany
  capacity:
    storage: 10Gi
  csi:
    driver: openshift-storage.cephfs.csi.ceph.com
    nodeStageSecretRef:
      name: rook-csi-cephfs-node
      namespace: openshift-storage
    volumeAttributes:
    # Volume Attributes can be copied from the Source testnamespace PV
      "clusterID": "openshift-storage"
      "fsName": "ocs-storagecluster-cephfilesystem"
      "staticVolume": "true"
    # rootpath is the subvolumePath: you copied from the Source testnamespace PV
      "rootPath": /volumes/csi/csi-vol-cc416d9e-dbf3-11ec-b286-0a580a810213/edcfe4d5-bdcb-4b8e-8824-8a03ad94d67c
    volumeHandle: 0001-0011-openshift-storage-0000000000000001-cc416d9e-dbf3-11ec-b286-0a580a810213-clone
  persistentVolumeReclaimPolicy: Retain
  volumeMode: Filesystem
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: cephfs-pvc-legacy
  namespace: openshift-storage
spec:
  storageClassName: ""
  accessModes:
  - ReadWriteMany
  resources:
    requests:
      storage: 10Gi
  volumeMode: Filesystem
  # volumeName should be same as PV name
  volumeName: cephfs-pv-legacy-openshift-storage
EOF

$ cat << EOF >> pv-openshift-storage.yaml
apiVersion: v1
kind: PersistentVolume
metadata:
  name: cephfs-pv-legacy-openshift-storage
spec:
  storageClassName: ""
  accessModes:
  - ReadWriteMany
  capacity:
    storage: 10Gi


  csi:
    driver: openshift-storage.cephfs.csi.ceph.com
    nodeStageSecretRef:
      name: rook-csi-cephfs-node
      namespace: openshift-storage
    volumeAttributes:
    # Volume Attributes can be copied from the Source testnamespace PV
      "clusterID": "openshift-storage"
      "fsName": "ocs-storagecluster-cephfilesystem"
      "staticVolume": "true"
    # rootpath is the subvolumePath: you copied from the Source testnamespace PV
      "rootPath": /volumes/csi/csi-vol-cc416d9e-dbf3-11ec-b286-0a580a810213/edcfe4d5-bdcb-4b8e-8824-8a03ad94d67c
    volumeHandle: 0001-0011-openshift-storage-0000000000000001-cc416d9e-dbf3-11ec-b286-0a580a810213-clone


  persistentVolumeReclaimPolicy: Retain
  volumeMode: Filesystem
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: cephfs-pvc-legacy
  namespace: openshift-storage
spec:
  storageClassName: ""
  accessModes:
  - ReadWriteMany
  resources:
    requests:
      storage: 10Gi


  volumeMode: Filesystem
  # volumeName should be same as PV name
  volumeName: cephfs-pv-legacy-openshift-storage
EOF

Copy to Clipboard

Toggle word wrap

1: 在 openshift-storage 命名空间中创建的 PV 的存储容量必须与原始 PV 相同。
2: 您在 openshift-storage 中创建的目标 PV 的卷处理需要与原始应用程序 PV 不同，例如，在卷句柄末尾添加 -clone。
3: 在 openshift-storage 命名空间中创建的 PVC 的存储容量必须与原始 PVC 相同。

使用上一步中指定的 YAML 文件，在 openshift-storage 命名空间中创建 PV 和 PVC：
```
oc create -f <YAML_file>
```
```
$ oc create -f <YAML_file>
```
Copy to Clipboard Toggle word wrap
<YAML_file>
指定 YAML 文件的名称。
例如：
$ oc create -f pv-openshift-storage.yaml persistentvolume/cephfs-pv-legacy-openshift-storage created persistentvolumeclaim/cephfs-pvc-legacy created

Copy to Clipboard Toggle word wrap

确保 PVC 在 openshift-storage 命名空间中可用：

oc get pvc -n openshift-storage

$ oc get pvc -n openshift-storage

NAME                                  STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS                  AGE
cephfs-pvc-legacy                     Bound    cephfs-pv-legacy-openshift-storage         10Gi       RWX                                          14s

Copy to Clipboard

Toggle word wrap

进入 openshift-storage 项目：

oc project openshift-storage

$ oc project openshift-storage

Now using project "openshift-storage" on server "https://api.cluster-5f6ng.5f6ng.sandbox65.opentlc.com:6443".

Copy to Clipboard

Toggle word wrap

创建 NSFS 命名空间存储：

noobaa namespacestore create nsfs <nsfs_namespacestore> --pvc-name='<cephfs_pvc_name>' --fs-backend='CEPH_FS'

$ noobaa namespacestore create nsfs <nsfs_namespacestore> --pvc-name='<cephfs_pvc_name>' --fs-backend='CEPH_FS'

Copy to Clipboard

Toggle word wrap

<nsfs_namespacestore>

指定 NSFS 命名空间存储的名称。

<cephfs_pvc_name>

在 openshift-storage 命名空间中指定 CephFS PVC 的名称。

例如：

noobaa namespacestore create nsfs legacy-namespace --pvc-name='cephfs-pvc-legacy' --fs-backend='CEPH_FS'

$ noobaa namespacestore create nsfs legacy-namespace --pvc-name='cephfs-pvc-legacy' --fs-backend='CEPH_FS'

Copy to Clipboard

Toggle word wrap

确保 noobaa-endpoint pod 重启，并在 NSFS 命名空间存储中成功挂载 PVC，例如 /nsfs/legacy-namespace 挂载点：

oc exec -it <noobaa_endpoint_pod_name> -- df -h /nsfs/<nsfs_namespacestore>

$ oc exec -it <noobaa_endpoint_pod_name> -- df -h /nsfs/<nsfs_namespacestore>

Copy to Clipboard

Toggle word wrap

<noobaa_endpoint_pod_name>

指定 noobaa-endpoint pod 的名称。

例如：

oc exec -it noobaa-endpoint-5875f467f5-546c6 -- df -h /nsfs/legacy-namespace

$ oc exec -it noobaa-endpoint-5875f467f5-546c6 -- df -h /nsfs/legacy-namespace

Filesystem                                                                                                                                                Size  Used Avail Use% Mounted on
172.30.202.87:6789,172.30.120.254:6789,172.30.77.247:6789:/volumes/csi/csi-vol-cc416d9e-dbf3-11ec-b286-0a580a810213/edcfe4d5-bdcb-4b8e-8824-8a03ad94d67c   10G     0   10G   0% /nsfs/legacy-namespace

Copy to Clipboard

Toggle word wrap

创建一个 MCG 用户帐户：

noobaa account create <user_account> --allow_bucket_create=true --new_buckets_path='/' --nsfs_only=true --nsfs_account_config=true --gid <gid_number> --uid <uid_number> --default_resource='legacy-namespace'

$ noobaa account create <user_account> --allow_bucket_create=true --new_buckets_path='/' --nsfs_only=true --nsfs_account_config=true --gid <gid_number> --uid <uid_number> --default_resource='legacy-namespace'

Copy to Clipboard

Toggle word wrap

<user_account>

指定 MCG 用户帐户的名称。

<gid_number>

指定 GID 号。

<uid_number>

指定 UID 号。

重要

使用与传统应用的相同 UID 和 GID。您可以从前面的输出中找到它。

例如：

noobaa account create leguser --allow_bucket_create=true --new_buckets_path='/' --nsfs_only=true --nsfs_account_config=true --gid 0 --uid 1000660000 --default_resource='legacy-namespace'

$ noobaa account create leguser --allow_bucket_create=true --new_buckets_path='/' --nsfs_only=true --nsfs_account_config=true --gid 0 --uid 1000660000 --default_resource='legacy-namespace'

Copy to Clipboard

Toggle word wrap

创建一个 MCG 存储桶。

在传统应用 pod 的 CephFS PV 和 PVC 的 NSFS 共享中为 S3 创建一个专用文件夹：

oc exec -it <pod_name> -- mkdir <mount_path>/nsfs

$ oc exec -it <pod_name> -- mkdir <mount_path>/nsfs

Copy to Clipboard

Toggle word wrap

例如：

oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- mkdir /mnt/pv/nsfs

$ oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- mkdir /mnt/pv/nsfs

Copy to Clipboard

Toggle word wrap

使用 nsfs/ 路径创建 MCG 存储桶：

noobaa api bucket_api create_bucket '{

$ noobaa api bucket_api create_bucket '{
  "name": "<bucket_name>",
  "namespace":{
    "write_resource": { "resource": "<nsfs_namespacestore>", "path": "nsfs/" },
    "read_resources": [ { "resource": "<nsfs_namespacestore>", "path": "nsfs/" }]
  }
}'

Copy to Clipboard

Toggle word wrap

例如：

noobaa api bucket_api create_bucket '{

$ noobaa api bucket_api create_bucket '{
  "name": "legacy-bucket",
  "namespace":{
    "write_resource": { "resource": "legacy-namespace", "path": "nsfs/" },
    "read_resources": [ { "resource": "legacy-namespace", "path": "nsfs/" }]
  }
}'

Copy to Clipboard

Toggle word wrap

检查位于传统应用程序和 openshift-storage 命名空间中的 PVC 中的文件夹的 SELinux 标签：

oc exec -it <noobaa_endpoint_pod_name> -n openshift-storage -- ls -ltraZ /nsfs/<nsfs_namespacstore>

$ oc exec -it <noobaa_endpoint_pod_name> -n openshift-storage -- ls -ltraZ /nsfs/<nsfs_namespacstore>

Copy to Clipboard

Toggle word wrap

例如：

oc exec -it noobaa-endpoint-5875f467f5-546c6 -n openshift-storage -- ls -ltraZ /nsfs/legacy-namespace

$ oc exec -it noobaa-endpoint-5875f467f5-546c6 -n openshift-storage -- ls -ltraZ /nsfs/legacy-namespace

total 567
drwxrwxrwx. 3 root       root system_u:object_r:container_file_t:s0:c0,c26      2 May 25 06:35 .
-rw-r--r--. 1 1000660000 root system_u:object_r:container_file_t:s0:c0,c26 580138 May 25 06:35 fs_write_cephfs-write-workload-generator-no-cache-1-cv892-data.log
drwxrwxrwx. 3 root       root system_u:object_r:container_file_t:s0:c0,c26     30 May 25 06:35 ..

Copy to Clipboard

Toggle word wrap

oc exec -it <pod_name> -- ls -latrZ <mount_path>

$ oc exec -it <pod_name> -- ls -latrZ <mount_path>

Copy to Clipboard

Toggle word wrap

例如：

oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- ls -latrZ /mnt/pv/

$ oc exec -it cephfs-write-workload-generator-no-cache-1-cv892 -- ls -latrZ /mnt/pv/

total 567
drwxrwxrwx. 3 root       root system_u:object_r:container_file_t:s0:c26,c5      2 May 25 06:35 .
-rw-r--r--. 1 1000660000 root system_u:object_r:container_file_t:s0:c26,c5 580138 May 25 06:35 fs_write_cephfs-write-workload-generator-no-cache-1-cv892-data.log
drwxrwxrwx. 3 root       root system_u:object_r:container_file_t:s0:c26,c5     30 May 25 06:35 ..

Copy to Clipboard

Toggle word wrap

在这些示例中，您可以看到 SELinux 标签不是不是导致权限被拒绝或访问问题的结果。

确保传统应用程序和 openshift-storage pod 在文件中使用相同的 SELinux 标签。
您可以使用以下方法之一进行此操作：
- 第 4.4.3.1 节 “更改传统应用程序项目中的默认 SELinux 标签，使其与 openshift-storage 项目中的默认 SELinux 标签匹配”.
- 第 4.4.3.2 节 “仅修改具有挂载传统应用程序 PVC 的 pod 的部署配置的 SELinux 标签”.
删除 NSFS 命名空间存储：
1. 删除 MCG 存储桶：
  $ noobaa bucket delete <bucket_name>
  Copy to Clipboard Toggle word wrap
  例如：
  $ noobaa bucket delete legacy-bucket
  
  Copy to Clipboard Toggle word wrap
2. 删除 MCG 用户帐户：
  $ noobaa account delete <user_account>
  Copy to Clipboard Toggle word wrap
  例如：
  $ noobaa account delete leguser
  
  Copy to Clipboard Toggle word wrap
3. 删除 NSFS 命名空间存储：
  $ noobaa namespacestore delete <nsfs_namespacestore>
  Copy to Clipboard Toggle word wrap
  例如：
  $ noobaa namespacestore delete legacy-namespace
  
  Copy to Clipboard Toggle word wrap
删除 PV 和 PVC：
重要
在删除 PV 和 PVC 前，请确保 PV 配置了保留策略。
```
oc delete pv <cephfs_pv_name>
```
```
$ oc delete pv <cephfs_pv_name>
```
Copy to Clipboard Toggle word wrap
```
oc delete pvc <cephfs_pvc_name>
```
```
$ oc delete pvc <cephfs_pvc_name>
```
Copy to Clipboard Toggle word wrap
<cephfs_pv_name>
指定传统应用的 CephFS PV 名称。
<cephfs_pvc_name>
指定传统应用的 CephFS PVC 名称。
例如：
$ oc delete pv cephfs-pv-legacy-openshift-storage

Copy to Clipboard Toggle word wrap

$ oc delete pvc cephfs-pvc-legacy

Copy to Clipboard Toggle word wrap

4.4.3.1. 更改传统应用程序项目中的默认 SELinux 标签，使其与 openshift-storage 项目中的默认 SELinux 标签匹配
复制链接

使用 sa.scc.mcs 显示当前的 openshift-storage 命名空间：

oc get ns openshift-storage -o yaml | grep sa.scc.mcs

$ oc get ns openshift-storage -o yaml | grep sa.scc.mcs

openshift.io/sa.scc.mcs: s0:c26,c0

Copy to Clipboard

Toggle word wrap

编辑传统应用程序命名空间，并使用 openshift-storage 命名空间的 sa.scc.mcs 中的值修改 sa.scc.mcs ：

oc edit ns <appplication_namespace>

$ oc edit ns <appplication_namespace>

Copy to Clipboard

Toggle word wrap

例如：

oc edit ns testnamespace

$ oc edit ns testnamespace

Copy to Clipboard

Toggle word wrap

oc get ns <application_namespace> -o yaml | grep sa.scc.mcs

$ oc get ns <application_namespace> -o yaml | grep sa.scc.mcs

Copy to Clipboard

Toggle word wrap

例如：

oc get ns testnamespace -o yaml | grep sa.scc.mcs

$ oc get ns testnamespace -o yaml | grep sa.scc.mcs

openshift.io/sa.scc.mcs: s0:c26,c0

Copy to Clipboard

Toggle word wrap

重启旧的应用容器集。重新标记所有文件，现在 SELinux 标签与 openshift-storage 部署相匹配。

4.4.3.2. 仅修改具有挂载传统应用程序 PVC 的 pod 的部署配置的 SELinux 标签
复制链接

使用 MustRunAs 和 seLinuxOptions 选项创建一个新的 scc，使用 openshift-storage 项目使用的 Multi Category Security(MCS)：

YAML 文件示例：

cat << EOF >> scc.yaml
allowHostDirVolumePlugin: false
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: true
allowPrivilegedContainer: false
allowedCapabilities: null
apiVersion: security.openshift.io/v1
defaultAddCapabilities: null
fsGroup:
  type: MustRunAs
groups:
- system:authenticated
kind: SecurityContextConstraints
metadata:
  annotations:
  name: restricted-pvselinux
priority: null
readOnlyRootFilesystem: false
requiredDropCapabilities:
- KILL
- MKNOD
- SETUID
- SETGID
runAsUser:
  type: MustRunAsRange
seLinuxContext:
  seLinuxOptions:
    level: s0:c26,c0
  type: MustRunAs
supplementalGroups:
  type: RunAsAny
users: []
volumes:
- configMap
- downwardAPI
- emptyDir
- persistentVolumeClaim
- projected
- secret
EOF

$ cat << EOF >> scc.yaml
allowHostDirVolumePlugin: false
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: true
allowPrivilegedContainer: false
allowedCapabilities: null
apiVersion: security.openshift.io/v1
defaultAddCapabilities: null
fsGroup:
  type: MustRunAs
groups:
- system:authenticated
kind: SecurityContextConstraints
metadata:
  annotations:
  name: restricted-pvselinux
priority: null
readOnlyRootFilesystem: false
requiredDropCapabilities:
- KILL
- MKNOD
- SETUID
- SETGID
runAsUser:
  type: MustRunAsRange
seLinuxContext:
  seLinuxOptions:
    level: s0:c26,c0
  type: MustRunAs
supplementalGroups:
  type: RunAsAny
users: []
volumes:
- configMap
- downwardAPI
- emptyDir
- persistentVolumeClaim
- projected
- secret
EOF

Copy to Clipboard

Toggle word wrap

oc create -f scc.yaml

$ oc create -f scc.yaml

Copy to Clipboard

Toggle word wrap

为部署创建一个服务帐户，并将其添加到新创建的 scc 中。

创建服务帐户：
```
oc create serviceaccount <service_account_name>
```
```
$ oc create serviceaccount <service_account_name>
```
Copy to Clipboard Toggle word wrap
<service_account_name>`
指定服务帐户的名称。
例如：
$ oc create serviceaccount testnamespacesa

Copy to Clipboard Toggle word wrap

将服务帐户添加到新创建的 scc 中：

oc adm policy add-scc-to-user restricted-pvselinux -z <service_account_name>

$ oc adm policy add-scc-to-user restricted-pvselinux -z <service_account_name>

Copy to Clipboard

Toggle word wrap

例如：

oc adm policy add-scc-to-user restricted-pvselinux -z testnamespacesa

$ oc adm policy add-scc-to-user restricted-pvselinux -z testnamespacesa

Copy to Clipboard

Toggle word wrap

对传统应用程序部署进行补丁，使其使用新创建的服务帐户。这可让您在部署中指定 SELinux 标签：

oc patch dc/<pod_name> '{"spec":{"template":{"spec":{"serviceAccountName": "<service_account_name>"}}}}'

$ oc patch dc/<pod_name> '{"spec":{"template":{"spec":{"serviceAccountName": "<service_account_name>"}}}}'

Copy to Clipboard

Toggle word wrap

例如：

oc patch dc/cephfs-write-workload-generator-no-cache --patch '{"spec":{"template":{"spec":{"serviceAccountName": "testnamespacesa"}}}}'

$ oc patch dc/cephfs-write-workload-generator-no-cache --patch '{"spec":{"template":{"spec":{"serviceAccountName": "testnamespacesa"}}}}'

Copy to Clipboard

Toggle word wrap

编辑部署，以指定要在部署配置的 SELinux 标签中使用的安全上下文：

oc edit dc <pod_name> -n <application_namespace>

$ oc edit dc <pod_name> -n <application_namespace>

Copy to Clipboard

Toggle word wrap

添加以下行：

spec:
 template:
    metadata:
      securityContext:
        seLinuxOptions:
          Level: <security_context_value>

spec:
 template:
    metadata:
      securityContext:
        seLinuxOptions:
          Level: <security_context_value>

Copy to Clipboard

Toggle word wrap

<security_context_value>

当您执行命令以在 NSFS 共享内为 S3 创建专用文件夹时，可以在 legacy 应用 Pod 的 CephFS PV 和 PVC 上创建一个专用文件夹时，即可找到这个值。

例如：

oc edit dc cephfs-write-workload-generator-no-cache -n testnamespace

$ oc edit dc cephfs-write-workload-generator-no-cache -n testnamespace

Copy to Clipboard

Toggle word wrap

spec:
 template:
    metadata:
      securityContext:
        seLinuxOptions:
          level: s0:c26,c0

spec:
 template:
    metadata:
      securityContext:
        seLinuxOptions:
          level: s0:c26,c0

Copy to Clipboard

Toggle word wrap

确保正确在部署配置中的 SELinux 标签中使用安全上下文：

oc get dc <pod_name> -n <application_namespace> -o yaml | grep -A 2 securityContext

$ oc get dc <pod_name> -n <application_namespace> -o yaml | grep -A 2 securityContext

Copy to Clipboard

Toggle word wrap

例如"

oc get dc cephfs-write-workload-generator-no-cache -n testnamespace -o yaml | grep -A 2 securityContext

$ oc get dc cephfs-write-workload-generator-no-cache -n testnamespace -o yaml | grep -A 2 securityContext

      securityContext:
        seLinuxOptions:
          level: s0:c26,c0

Copy to Clipboard

Toggle word wrap

传统应用程序重启并开始使用与 openshift-storage 命名空间相同的 SELinux 标签。

4.4. 使用 S3 协议在旧应用程序与云原生应用程序间共享

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.4. 使用 S3 协议在旧应用程序与云原生应用程序间共享

4.4.1. 创建 NamespaceStore 来使用文件系统复制链接链接已复制到粘贴板!

4.4.2. 使用 NamespaceStore 文件系统配置创建帐户复制链接链接已复制到粘贴板!

4.4.3. 从 openshift-storage 命名空间中访问旧的应用程序数据复制链接链接已复制到粘贴板!

4.4.3.1. 更改传统应用程序项目中的默认 SELinux 标签，使其与 openshift-storage 项目中的默认 SELinux 标签匹配复制链接链接已复制到粘贴板!

4.4.3.2. 仅修改具有挂载传统应用程序 PVC 的 pod 的部署配置的 SELinux 标签复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.4.1. 创建 NamespaceStore 来使用文件系统
复制链接

4.4.2. 使用 NamespaceStore 文件系统配置创建帐户
复制链接

4.4.3. 从 openshift-storage 命名空间中访问旧的应用程序数据
复制链接

4.4.3.1. 更改传统应用程序项目中的默认 SELinux 标签，使其与 openshift-storage 项目中的默认 SELinux 标签匹配
复制链接

4.4.3.2. 仅修改具有挂载传统应用程序 PVC 的 pod 的部署配置的 SELinux 标签
复制链接