Ceph 인증 키와 권한(Caps) 설명 정리
1. Ceph 인증 키 구조
- Ceph는 서비스별로 클러스터 접근을 위한 인증 키(keyring)를 사용합니다.
- 일반적으로 /etc/ceph/ 또는 Kolla 환경에서는 /etc/kolla/<서비스>/ceph/ 경로에 위치합니다.
2. 권한 정보 (caps)
- 키 자체는 인증을 위한 도구일 뿐, 실제 권한은 Ceph 클러스터 내부에 저장된 caps 값에 따라 결정됩니다.
- ceph auth get client.<id> 명령어를 통해 키의 실제 권한을 확인할 수 있습니다.
3. Caps 필드 구성 예시
caps mon = "allow r"
caps osd = "allow class-read object_prefix rbd_children, allow rwx pool=volumes"
- mon = "allow r": monitor에 대한 read-only 권한 (기본 요구)
- osd 권한:
- allow rwx pool=volumes:
- r: read (읽기)
- w: write (쓰기)
- x: execute (삭제 및 관리 등 포함된 확장 권한)
- allow class-read object_prefix rbd_children:
- RBD 계층에서 오브젝트들을 스캔하거나 하위 오브젝트 접근에 필요
- 스냅샷, 이미지 목록 조회, 삭제 등 고급 작업에 필수
- allow rwx pool=volumes:
4. 주의 사항
- 단순히 키 파일(.keyring)만 있다고 해서 그 권한을 가진다고 단정지을 수는 없습니다.
- 클러스터 내부에 등록된 caps를 기준으로 판단해야 하며, 항상 다음 명령으로 확인합니다:
- ceph auth get client.cinder
5. 권한 수정 예시
- 필요 시 권한을 재정의하거나 추가할 수 있습니다:
- ceph auth caps client.cinder \ mon "allow r" \ osd "allow class-read object_prefix=rbd_children, allow rwx pool=volumes"
이 정리는 OpenStack 환경에서 Cinder, Glance, Nova 등의 Ceph 연동 이슈를 해결할 때 유용하게 사용됩니다.
'CLOUD' 카테고리의 다른 글
| OpenStack Designate에 대해 알아보기 (0) | 2025.04.08 |
|---|---|
| OpenStack Swift – 스토리지 디스크 준비 및 Ring 파일 구성, 정책 에러 해결 방법 (0) | 2025.04.03 |
| OpenStack Kolla Ansible Horizon URL 직접 접근 차단 및 정상적인 접근 방식 설정 (0) | 2025.03.05 |
| OpenStack Horizon 로그인 실패 메시지 수정 및 적용 방법 (0) | 2025.03.04 |
| KOLLA ANSIBLE - 간단하게 도커 프라이빗 레지스트리 적용 시켜보기 (0) | 2025.02.05 |