晉城網(wǎng)站建設(shè)公司排名用凡科做網(wǎng)站有自己的域名
鶴壁市浩天電氣有限公司
2026/01/24 10:36:59
晉城網(wǎng)站建設(shè)公司排名,用凡科做網(wǎng)站有自己的域名,網(wǎng)絡(luò)平臺(tái)有哪些?,做網(wǎng)站需要解析嗎#xff01;這是關(guān)于 Ceph 用戶權(quán)限管理的非常重要且實(shí)用的內(nèi)容。讓我為你詳細(xì)講解#xff1a;
核心概念理解
1. 為什么需要非管理員用戶#xff1f;
# 管理員用戶#xff08;危險(xiǎn)#xff01;#xff09;
ceph auth get-or-create client.admin mon allow * osd allow * …這是關(guān)于 Ceph 用戶權(quán)限管理的非常重要且實(shí)用的內(nèi)容。讓我為你詳細(xì)講解核心概念理解1. 為什么需要非管理員用戶# 管理員用戶危險(xiǎn)ceph auth get-or-create client.admin monallow *osdallow *mgrallow *# 權(quán)限可以執(zhí)行任何操作包括刪除整個(gè)集群# 專用用戶安全ceph auth get-or-create client.rbd_user monprofile rbdosdprofile rbd poolmypool# 權(quán)限只能操作特定存儲(chǔ)池的 RBD 功能命令語(yǔ)法詳解基本結(jié)構(gòu)ceph auth get-or-create client.{用戶名}mon權(quán)限描述osd權(quán)限描述mgr權(quán)限描述各部分權(quán)限說(shuō)明A. Monitor (mon) 權(quán)限# 常用的 mon 權(quán)限配置monallow r# 只讀權(quán)限monallow rw# 讀寫(xiě)權(quán)限monprofile rbd# RBD 專用權(quán)限推薦B. OSD 權(quán)限最重要# 基本格式osdprofile {權(quán)限類型} pool{池名}# 權(quán)限類型選項(xiàng)profile rbd# RBD 完整權(quán)限profile rbd-read-only# RBD 只讀權(quán)限profile rbd-read-write# RBD 讀寫(xiě)權(quán)限C. Manager (mgr) 權(quán)限# RBD 相關(guān)的 manager 權(quán)限mgrprofile rbd# RBD 管理權(quán)限實(shí)際應(yīng)用示例示例1創(chuàng)建基礎(chǔ)的 RBD 用戶# 創(chuàng)建只能操作 rbdpool 的 RBD 用戶ceph auth get-or-create client.rbd_usermonprofile rbdosdprofile rbd poolrbdpoolmgrprofile rbd示例2創(chuàng)建多池權(quán)限用戶如文檔中的例子# 用戶 qemu 對(duì) vms 池有讀寫(xiě)權(quán)限對(duì) images 池有只讀權(quán)限ceph auth get-or-create client.qemumonprofile rbdosdprofile rbd poolvms, profile rbd-read-only poolimagesmgrprofile rbd poolimages示例3創(chuàng)建只讀監(jiān)控用戶# 只能查看 RBD 信息不能修改ceph auth get-or-create client.monitormonprofile rbdosdprofile rbd-read-only poolrbdpoolmgrprofile rbd完整的創(chuàng)建和使用流程步驟1創(chuàng)建專用用戶#!/bin/bashUSER_NAMEmyrbduserPOOL_NAMErbdpoolecho 創(chuàng)建 RBD 專用用戶 # 創(chuàng)建用戶并保存keyringceph auth get-or-create client.$USER_NAMEmonprofile rbdosdprofile rbd pool$POOL_NAMEmgrprofile rbd/etc/ceph/ceph.client.$USER_NAME.keyringecho用戶創(chuàng)建完成步驟2驗(yàn)證用戶權(quán)限# 使用新用戶測(cè)試權(quán)限ceph --user$USER_NAME-s# 應(yīng)該能查看集群狀態(tài)ceph --user$USER_NAMEosd poolls# 應(yīng)該能查看存儲(chǔ)池rbd --user$USER_NAMEls--pool$POOL_NAME# 應(yīng)該能操作 RBD# 測(cè)試越權(quán)操作應(yīng)該失敗ceph --user$USER_NAMEosd pool create test_pool88# 應(yīng)該被拒絕步驟3客戶端使用配置# 在客戶端機(jī)器上配置# 將keyring文件復(fù)制到客戶端scp/etc/ceph/ceph.client.$USER_NAME.keyring client-machine:/etc/ceph/# 在客戶端使用指定用戶rbd map --pool$POOL_NAMEmyimage --user$USER_NAME權(quán)限驗(yàn)證和測(cè)試查看用戶權(quán)限# 查看所有用戶ceph authls# 查看特定用戶的權(quán)限詳情ceph auth get client.$USER_NAME# 測(cè)試用戶具體能執(zhí)行哪些命令ceph --user$USER_NAMEosd lspools# 應(yīng)該成功ceph --user$USER_NAMEosd pool delete rbdpool rbdpool --yes-i-really-really-mean-it# 應(yīng)該失敗權(quán)限邊界測(cè)試#!/bin/bash# 測(cè)試用戶權(quán)限邊界USERmyrbduserPOOLrbdpoolecho 權(quán)限測(cè)試 # 1. 應(yīng)該成功的操作echo測(cè)試允許的操作:ceph --user$USER-s/dev/null21echo? 查看集群狀態(tài)rbd --user$USERls--pool$POOL/dev/null21echo? 查看 RBD 鏡像# 2. 應(yīng)該失敗的操作echo測(cè)試禁止的操作:ceph --user$USERosd pool create test_pool88/dev/null21||echo? 禁止創(chuàng)建存儲(chǔ)池ceph --user$USERosd pool delete$POOL$POOL--yes-i-really-really-mean-it/dev/null21||echo? 禁止刪除存儲(chǔ)池生產(chǎn)環(huán)境最佳實(shí)踐按用途創(chuàng)建專用用戶# 虛擬機(jī)用戶只能操作 vm_poolceph auth get-or-create client.vm_user monprofile rbdosdprofile rbd poolvm_poolmgrprofile rbd# 備份用戶只讀權(quán)限ceph auth get-or-create client.backup monprofile rbdosdprofile rbd-read-only poolvm_poolmgrprofile rbd# 監(jiān)控用戶只讀所有池ceph auth get-or-create client.monitor monprofile rbdosdprofile rbd-read-onlymgrprofile rbdKeyring 文件管理# 正確的文件權(quán)限設(shè)置chmod600/etc/ceph/ceph.client.*.keyringchownceph:ceph /etc/ceph/ceph.client.*.keyring# 密鑰備份cp/etc/ceph/ceph.client.myrbduser.keyring /backup/故障排除常見(jiàn)權(quán)限錯(cuò)誤# 錯(cuò)誤權(quán)限不足rbd: error opening pool rbdpool:(13)Permission denied# 解決檢查用戶權(quán)限ceph auth get client.myrbduser# 錯(cuò)誤keyring文件找不到rbd: couldnt connect to cluster:(13)Permission denied# 解決指定keyring文件rbd --user myrbduser --keyring /etc/ceph/ceph.client.myrbduser.keyringls總結(jié)這個(gè)機(jī)制的核心價(jià)值? 安全性避免使用管理員權(quán)限執(zhí)行日常操作? 職責(zé)分離不同用途使用不同用戶? 審計(jì)跟蹤便于追蹤誰(shuí)執(zhí)行了什么操作? 故障隔離一個(gè)用戶密鑰泄露不會(huì)影響整個(gè)集群對(duì)于你的 RBD 測(cè)試環(huán)境建議創(chuàng)建一個(gè)專用用戶而不是一直使用admin用戶