6.4. Ceph 对象网关
从数据安全性和保留角度看,Ceph 对象网关接口与 Ceph 块设备和 Ceph 文件系统接口相比有一些重要的区别。Ceph 对象网关向用户提供服务。Ceph 对象网关可能会存储:
- 用户身份验证信息: 用户身份验证信息通常由用户 ID、用户访问密钥和用户 secret 组成。如果提供,它也可能包含用户的名称和电子邮件地址。Ceph 对象网关将保留用户身份验证数据,除非用户从系统明确删除。
用户数据: 用户数据通常包含用户或管理员创建的存储桶或容器,以及用户创建的 S3 或 Swift 对象。Ceph 对象网关接口为每个 S3 或 Swift 对象创建一个或多个 Ceph 存储集群对象,并将对应的 Ceph Storage 集群对象存储在数据池中。Ceph 将 Ceph 存储集群对象分配到 PG,并在整个集群的 OSD 中进行伪随机放置。Ceph 对象网关还可以存储存储桶或索引中包含的对象的索引,以启用服务,如列出 S3 存储桶或 Swift 容器的内容。此外,在实施多部分上传时,Ceph 对象网关可以暂时存储 S3 或 Swift 对象的部分上传。
用户可以创建、修改和删除存储桶或容器,以及它们在 Ceph 对象网关中包含的对象。Ceph 处理代表 S3 或 Swift 对象的创建、检索、更新和删除操作。
删除 S3 或 Swift 对象会以无法恢复的方式销毁对应的 Ceph Storage 集群对象。但是,重新隐藏的数据工件可能会继续驻留在存储介质上,直到被覆盖为止。数据也可能保留在备份存档中。
- 日志记录 :Ceph 对象网关也存储用户计划要执行的操作日志,从而完成和执行的操作。此数据提供有关创建、修改或删除存储桶或容器或位于 S3 存储桶或 Swift 容器的 S3 或 Swift 对象的可追溯性。当用户删除其数据时,日志信息不会生效,并在由系统管理员删除或根据过期策略自动删除前保留存储。
Bucket 生命周期
Ceph 对象网关也支持 bucket 生命周期功能,包括对象到期。与 General Data Protection Regulation 等数据保留法规可能需要管理员设置对象过期策略,并将其披露给用户以及其他合规因素。
多站点
Ceph 对象网关通常部署到多站点环境中,让用户在一个站点存储对象,Ceph 对象网关在另一个集群中创建对象的副本,可能位于其他地理位置。例如,如果主集群失败,二级集群可能会恢复操作。在另一个示例中,次要集群可能位于不同的地理位置,如边缘网络或内容交付网络,因此客户端可以访问最接近的集群以提高响应时间、吞吐量和其他性能特性。在多站点场景中,管理员必须确保每个站点都实施了安全措施。另外,如果在多站点场景中发生数据地理分布,管理员必须了解数据跨策略边界时的任何法规影响。
