3.5. Ceph ファイルシステム用のクライアントユーザーの作成
Red Hat Ceph Storage は認証に cephx を使用します。これはデフォルトで有効になります。Ceph File System で cephx を使用するには、Ceph Monitor ノードで正しい承認機能を持つユーザーを作成し、そのキーを Ceph File System がマウントされるノードで利用できるようにします。
前提条件
- 稼働中の Red Hat Ceph Storage クラスターがある。
- Ceph Metadata Server デーモン (ceph-mds) のインストールおよび設定
- Ceph Monitor ノードへの root レベルのアクセス。
- Ceph クライアントノードへのルートレベルのアクセスがある。
手順
モニターノードの Cephadm シェルにログインします。
例:
[root@host01 ~]# cephadm shell
Ceph Monitor ノードで、クライアントユーザーを作成します。
構文
ceph fs authorize FILE_SYSTEM_NAME client.CLIENT_NAME /DIRECTORY CAPABILITY [/DIRECTORY CAPABILITY] ...
クライアントを、ファイルシステム
cephfs_aのtempディレクトリーでのみ書き込みするよう制限するには、以下を実行します。例
[ceph: root@host01 /]# ceph fs authorize cephfs_a client.1 / r /temp rw client.1 key = AQBSdFhcGZFUDRAAcKhG9Cl2HPiDMMRv4DC43A==
クライアントを
tempディレクトリーに完全に制限するには、root (/) ディレクトリーを削除します。例
[ceph: root@host01 /]# ceph fs authorize cephfs_a client.1 /temp rw
注記ファイルシステム名、
allまたはアスタリスク (*) をファイルシステム名として指定することにより、すべてのファイルシステムへのアクセスが付与されます。通常、シェルから保護するには、アスタリスクを引用符で囲む必要があります。作成したキーを確認します。
構文
ceph auth get client.ID例
[ceph: root@host01 /]# ceph auth get client.1 client.1 key = AQBSdFhcGZFUDRAAcKhG9Cl2HPiDMMRv4DC43A== caps mds = "allow r, allow rw path=/temp" caps mon = "allow r" caps osd = "allow rw tag cephfs data=cephfs_a"
キーリングをクライアントにコピーします。
Ceph Monitor ノードで、キーリングをファイルにエクスポートします。
構文
ceph auth get client.ID -o ceph.client.ID.keyring
例
[ceph: root@host01 /]# ceph auth get client.1 -o ceph.client.1.keyring exported keyring for client.1
Ceph Monitor ノードからクライアントノードの
/etc/ceph/ディレクトリーに、クライアントキーリングをコピーします。構文
scp /ceph.client.ID.keyring root@CLIENT_NODE_NAME:/etc/ceph/ceph.client.ID.keyring
CLIENT_NODE_NAME を Ceph クライアントのノード名または IP に置き換えます。
例:
[ceph: root@host01 /]# scp /ceph.client.1.keyring root@client01:/etc/ceph/ceph.client.1.keyring
クライアントノードから、キーリングファイルに適切なパーミッションを設定します。
構文
chmod 644 ceph.client.ID.keyring例
[root@client01 ~]# chmod 644 /etc/ceph/ceph.client.1.keyring
関連情報
- 詳細は、Red Hat Ceph Storage 管理ガイドの Ceph ユーザー管理 の章を参照してください。
