ceph 认证高可用

最新推荐文章于 2025-01-17 02:07:06 发布
最新推荐文章于 2025-01-17 02:07:06 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: ceph
本文深入探讨了Cephx认证系统的实现原理,包括如何通过共享秘钥进行用户和进程认证,以及其与kerberos协议的相似之处。重点阐述了Cephx在保护数据安全、避免单点故障和瓶颈方面的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

认证高可用

为了识别用户和防止中间人攻击,ceph提供了cephx 认证系统来认证用户和进程。

注:cephx不提供对地址数据的加密和 rest的加密。
Cephx是通过共享秘钥来实现认证的,也就是说,客户端和服务端拥有相同的秘钥。认证协议是这样的,交互的双方能够相互证明彼此有秘钥的副本而不把它暴露出来。这样就能提供相互认证,即:客户端确信用户拥有秘钥,用户也确信客户端也有一个秘钥的副本。
Ceph key 的可伸缩特性是避免ceph 对象存储的接口集中,也就是说ceph client必须可以直接与osd交互。为了保护数据,ceph提供了cephx认证系统,它主要认证用户操作的客户端。Cephx协议操作在某种意义上类似于kerberos。
用户或者角色通过client来联系monitor。这个跟kerberos不同,每个moniter都能够认证用户和分发秘钥,所以使用cephx认证系统就不会有单点故障和瓶颈。Monitor会返回一个结构类似于kerberos ticket的认证数据,里面包含使用ceph service的时候需要的session key。Session key是经用户的秘钥加密过得,所以只有用户本身可以从monitors请求服务。Client使用session key从monitor那请求需要的服务,monitors会发送给客户端一个key,这个key用于client和osd之间的认证。Ceph的monitors和osd共享一个秘钥,所以客户端可以在集群中和osd ,metadata server共同使用这个monitors提供的key。类似于kerberos,ceph ticket是有期限的,所以攻击者不能够使用过期的ticket或者session key。这种认证方式可以防止攻击者中间伪造用户消息,或者篡改用户消息,只要用户的密码没有暴露出来。
使用cephx,首先管理员必须要先建立一个用户。下面这张图展示了,用户client.admin调用命令ceph auth get-or-create-key 创建一个用户和秘钥。Ceph的子系统auth会产生一个用户名和秘钥,在monitor中保存一个副本,然后把用户的秘钥传给client.admin用户。这意味着client和monitor共用同一个密码。

    在使用monitors认证的时候,客户端要把用户名提供给monitor,monitor产生一个session key,而且使用用户的秘钥对session key加密,然后,monitor把加了密的session key传递给client,客户端使用共享的秘钥对接收到的包解密得到session key。Session key是用来鉴别正在会话的用户。Client 然后使用session key向monitor请求一个代表用户签名的ticket。Monitor就会为用户产生一个ticket,使用用户的秘钥对其进行加密,然后再传送给client。Client再对ticket解密,然后使用ticket签署对osd和metadata server的请求。

使用cephx协议在client和ceph sever之间交互的时候,在经过认证之后,client 和server之间的消息都要经 monitor,osd和metadata 使用共享秘钥审查的ticket签名。

认证只存在于client和server之间,对于对client的访问是没有认证机制的,用户主机到client主机之间的认证是无效的。

ceph3--认证机制/存储池相关操作/dashboard/
weixin_44515412的博客
09-15 994
Day3作业: 1.ceph rgw的使用 创建user 创建bucket 上传数据 2.ceph dashboard和监控 3.dokcer 基础 版本信息 安装 存储引擎 镜像和基本命令
ceph——认证——1
w007d的专栏
02-23 464
当链接建立或者链接异常断开后重新建立时,需要首先执行认证流程。认证流程入口如下: 认证分为三个阶段。 第一阶段首先MONC发送CEPH_MSG_AUTH到MON MON收到该消息之后处理如下 mon处理完成后需要给MONC返回一个CEPH_MSG_AUTH_REPLY消息,MONC收到该消息后处理如下: ...
Ceph认证授权
因上努力,果上随缘。但行好事,莫问前程。
07-01 2071
目录1. Ceph的授权1.1 Ceph认证流程1.2 Ceph认证机制1.3 Ceph常用权限说明1.4 Ceph的授权操作1.4.1 授权的基本语法规则1.4.2 常用的授权语法1.4.3 ceph用户命令规范1.4.4 添加用户1.4.5 用户密钥的导入导出1.4.6 用户的查询与删除1.4.7 修改用户权限1.5 推送用户至客户端1.6 通过命令行使用用户1.7 认证练习(管理ceph认证ceph用caps来描述给予用户的的权限来使用mon和osd/mds,caps用来限制对某一个存储池的数据或
Ceph认证授权必备手册:从流程到机制,打造安全存储认证体系
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
11-08 1025
Ceph认证授权必备手册:从流程到机制,打造安全存储认证体系!
cephx认证和授权
梵修
03-12 803
认证过程中,mon节点会返回用于身份认证的数据结构,其中包括获取ceph服务时用到的session-key,session-key通过客户端密钥进行加密传输,而密钥是客户端提前配置好的,保存在客户端的keyring文件中。所有对于ceph的访问请求都要经过cephx认证ceph默认已经开启了cephx认证,也可以在mon节点关闭cephx认证,但是关闭认证后任何访问都将被允许,因此无法保证数据的安全性。ceph客户端提交的数据最终都存储在pool中,因此ceph用户需要拥有存储池的访问权限才能读写数据。
第四课 ceph基础学习-RGW高可用集群和集群测试
QnHyn
10-19 1347
RGW高可用和集群测试
9.3: Keepalived高可用 、 部署Ceph分布式存储 、 总结和答疑.docx
03-05
本文主要涉及两个核心概念:Keepalived高可用Ceph分布式存储的部署。首先,我们详细探讨Keepalived的高可用性配置,然后介绍Ceph分布式存储的基本概念。 1. Keepalived高可用 Keepalived是一款开源软件,主要用于...
2021-11-10如何快速部署Ceph分布式高可用集群
孟凡霄
11-10 416
基础概念 目前Ceph官方提供三种部署Ceph集群的方法,分别是ceph-deploy,cephadm和手动安装 ceph-deploy 一个集群自动化部署工具,使用较久,成熟稳定,被很多自动化工具所集成,可用于生产部署 cephadm 从Octopus开始提供的新集群部署工具,支持通过图形界面或者命令行界面添加节点,目前不建议用于生产环境,有兴趣可以尝试 manual 手动部署,一步步部署Ceph集群,支持较多定制化和了解部署细节,安装难度较大,但可以清晰掌握安装部署的细节 这里我们采用成熟、.
Ceph分布式存储系统以及高可用原理
李姓门徒
04-04 1862
Ceph分布式存储系统具有优秀的策略层的设计,**无中心元数据节点,无单点问题,完善的错误恢复机制,良好的扩展性等特性是它的核心竞争力**。同时,良好的架构设计为其带来的多存储接口以及多存储引擎的支持也为其吸引了大量的用户和开发者。目前从社区以及我们自己的测试情况来看,Ceph已经具备非常高的可靠性。并且从社区来看,RadosGW和RBD接口已经在生产环境中得到了很好的检验,CephFS接口目前还有待得到生产环境的检验。当前,Ceph社区也非常活跃,并且背靠OpenStack这棵大树,相信Ceph的发展会越
在openstack中实现ceph存储的高可用
# 1. 介绍 ## 1.1 OpenStack和Ceph的背景 OpenStack是一个开源的云计算管理平台...本文旨在探讨如何通过集成Ceph存储来实现OpenStack的高可用性,具体内容安排如下: - 第二章将介绍OpenStack和Ceph的基本原理,包括
【云原生 | Kubernetes 系列】--Ceph认证和RBD
Q先生
09-19 1027
Ceph认证和RBD
Cephx源码浅析
oba没有马
02-05 2720
Ceph X protocol   Ceph的Auth认证服务由MON中的AuthMonitor模块提供,随MON启动而启动。启动时会检查认证服务是否为cephx,如果是将加载admin.keyring(里面包含客户端服务器共享的密钥)。 当服务器接受请求后会开启一个会话,并初始化一个server_challenge,该值会传输给请求授权的客户端。客户端接收到server_challenge
大话Ceph--CephX 那点事儿
Be_Nice的博客
06-29 764
《大话 Ceph 》系列文章通过通俗易懂的语言并结合基础实验,用最简单的描述来讲解 Ceph 中的重要概念。让读者对分布式存储系统有一个清晰的理解。 引言 这篇文章主要介绍了 Ceph 中的一个重要系统 – CephX 认证系统。简要介绍了 CephX 的命名格式。并介绍了从集群启动到用户连接集群这一系列流程中 CephX 所起的作用。最后通过实验操作讲解如何在集群所有秘钥丢失的情况下将其完整恢复,以及在实际生产环境中使用 CephX 的一些注意事项。 CephX 是什么? CephX 理解起来很简单,就是
CephX 认证机制及用户管理
qq_31055683的博客
09-02 932
Ceph使用Cephx协议对客户端进行身份认证Cephx 用于对ceph保存的数据进行认证访问和授权,用于对访问ceph的请求进行认证和授权监测,与mon通信的请求都要经过ceph认证通过,但是也可以在mon节点关闭cephx认证,但是关闭认证之后任何访问都将被允许,因此无法保证数据的安全性。
Ceph — 简介
李少侠
11-08 1450
Ceph是一个统一的分布式存储系统,最早起源于Sage就读博士期间的工作(最早的成果于2004年发表),随后贡献给开源社区。其设计初衷是提供较好的性能、可靠性和可扩展性。在经过多年的发展之后,目前已得到众多云计算厂商的支持并被广泛应用。RedHat 及 OpenStack 都可与Ceph整合以支持虚拟机镜像的后端存储。
Cephx 实战演练
weixin_34378045的博客
12-08 1138
<center></center> 原文地址:Cephx 实战演练 本文就阅读完徐小胖的大话Cephx后,针对一些猜测和疑惑进行了实战演练,对原文的一些说法和结论进行了验证,并进行了一系列的扩展的思考猜想和总结。最后收获满满,不仅对原文的一些结论进行了验证,也发现了其中的一些问题,更多的是自己动手后一些奇妙的场景和...
Ceph实战(二)-高可用集群部署
最新发布
2501_90257249的博客
01-17 484
NFS Ganesha:默认情况下,NFS Ganesha 使用端口 2049(NFS 服务、TCP)和 875 (rquota 支持、TCP)。SSH:打开端口 22 (TCP)。NTP:打开端口 123 (UDP)。
Ceph 的用户管理与认证
烟云的计算
04-29 4931
目录 文章目录目录前言Ceph 的用户管理用户管理常规操作CephX 认证系统身份认证原理使用 ceph-authtool 进行密钥环管理 前言 常规的身份认证系统无非三点: 账户 角色权限 认证鉴权 本篇也从这三个角度来解析 Ceph 的用户管理与认证Ceph 的用户管理 Ceph 的用户可以是一个具体的人或系统角色(e.g. 应用程序),Ceph 管理员通过创建用户并设置权限来控制谁...
Ceph cephx认证配置
litianze99的专栏
03-25 8222
Ceph cephx认证配置认证注:当更新的时候,建议把认证的注解掉,然后在升级,一旦升级接收就激活认证。 默认情况下cephx协议是打开的,同时认证服务是要一定的计算资源的,如果你的网络环境很安全,你不想使用认证,你也可以把它关掉,但是不建议关掉。如果关闭认证,你就很有可能受到中间人攻击篡改client/server消息,这会导致严重的安全问题。部署情景:有两种主要的部署方式,一个是使用ceph
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值