本发明涉及分布式存储访问认证领域,尤其涉及一种ceph分布式块存储接入认证方法、介质及装置。
背景技术:
ceph是一个可靠、自动重均衡、自动恢复的开源分布式存储系统,可同时提供对象存储、块设备和文件系统服务。
现有技术中,为了在网络传输中防止数据被全改,做到较高程度的安全性,加入了cephx加密认证协议,目的是识别身份,加密、验证传输中的数据。在公共网络中,ceph存储系统业务前端端口在同一网络的应用主机可以访问ceph存储系统,并对其进行读写操作。为了保证ceph存储系统的安全,可以通过配置cephx安全性认证,限制应用主机对存储系统的访问权限。如果存储系统上配置开启了cephx认证,在建立连接时应用主机会发送连接请求给ceph存储系统,ceph存储系统会进行cephx用户名和密钥认证。如果cephx用户名和密钥正确,则允许应用主机访问存储系统。参阅图1,应用主机端配置存储端已创建的cephx用户1/密钥1,在访问对应分布式存储卷时可以利用cephx用户1/密钥1通过存储的cephx认证,对卷信息进行读写操作。多个应用主机a、b、xx等都可以通这一套cephx用户1/密钥1进行cephx认证访问存储卷,在分布式存储端无法控制拒绝某个应用主机对卷的访问,当取消cephx用户1/密钥1对存储的访问权限时,所有使用该用户/密钥的应用主机都无法访问各自对应的分布式存储卷了。因此存在权限控制粒度较大,拿到用户和密钥的应用主机都能访问存储集群卷数据,并且在分布式存储侧无法解除指定的卷与应用主机的关联关系,无法解除已通过cephx认证的应用主机对分布式存储卷的访问。
技术实现要素:
为解决上述问题,本发明提供一种ceph分布式块存储接入认证方法,应用于分布式存储业务的存储端和连接到存储端的应用主机,包括:
为每个连接所述存储端的应用主机设置固定的应用主机ip;
所述存储端经cephx认证模块验证所述应用主机是否具备第一权限;
具备第一权限的应用主机经ip认证模块验证所述应用主机是否具备第二权限;
判断所述应用主机是否同时具备第一权限和第二权限,如果所述应用主机具备第一权限和第二权限则允许应用主机访问所述存储端中相应的存储卷。
更进一步地,在所述存储端配置cephx认证模块,并设定登录信息保存于所述存储端;在每个连接所述存储端的应用主机配置对应所述登录信息的用户名及密钥;
所述存储端经cephx认证模块验证所述应用主机是否具备第一权限包括:
访问所述存储端时,所述应用主机向cephx认证模块提供用户名及密钥,如果用户名与密钥匹配所述cephx认证模块中的登录信息,则所述应用主机具备第一权限。
更进一步地,在所述存储端的创建第一文件,所述第一文件中包含应用主机名称与应用主机名称相对应的应用主机ip。
更进一步地,读取所述第一文件,获取所述应用主机名称以及所述应用主机ip;根据存储端的存储卷和所述第一文件,在所述存储端创建包含存储卷映射应用主机ip的第二文件;
具备第一权限的应用主机经ip认证模块验证所述应用主机是否具备第二权限包括:所述应用主机访问所述存储端的相应的存储卷时,向所述ip认证模块提供所述应用主机ip;
所述ip认证模块根据获取的所述应用主机ip和所述第二文件获取应用主机ip在所述第二文件中对应的全部存储卷,如果目标存储卷包含于所述存储卷,则所述应用主机具备第二权限。
更进一步地,执行第一操作修改所述第一文件,所述第一操作包括向所述第一文件增加应用主机名称与相应的应用主机ip,从所述第一文件中删除应用主机名称与相应的应用主机ip。
更进一步地,执行第二操作修改所述第二文件,所述第二操作包括向所述第二文件添加应用主机ip,并映射于存储端相应的存储卷,从所述第二文件中删除应用主机ip,并与相应的存储卷解映射;向所述第二文件添加存储卷,并映射相应的应用主机ip,从所述第二文件中删除存储卷,并与相应的应用主机ip解映射。
本发明提供一种ceph分布式块存储业务平面接入认证介质,存储至少一条指令,执行所述指令实现所述ceph分布式块存储接入认证方法。
本发明提供一种ceph分布式块存储业务平面接入认证装置,包括存储端和应用主机,其中,
所述存储端包括第一处理单元、第一总线单元、第一接口单元、第一存储单元,所述第一总线单元电性连接所述第一处理单元、所述第一存储单元以及所述第一接口单元;
所述应用主机包括第二处理单元、第二存储单元、第二总线单元以及第二接口单元,所述第二总线单元电性连接所述第二处理单元、所述第二存储单元以及所述第二接口单元;
所述第一接口单元电性连接所述第二接口单元。
更进一步地,所述第一处理单元和所述第一存储单元配置cephx认证模块和ip认证模块,所述第二处理单元和所述第二存储单元通过所述第二接口单元和所述第一接口单元向所述cephx认证模块发送用户名和密钥,向所述ip认证模块发送应用主机ip,所述cephx认证模块根据用户名和密钥验证应用主机能否访问存储端,所述ip认证模块通过应用主机ip验证应用主机能否访问存储卷。
本申请提出的一种ceph分布式块存储接入认证方法、介质及装置具体有以下有益效果:
本发明提出的一种ceph分布式块存储接入认证方法,在应用主机接入目标存储卷时,由所述应用主机向所述存储端的cephx认证模块提供的用户名和密钥,所述cephx认证模块确认用户名和密钥是否与登录信息匹配来确认所述应用主机是否具备第一权限,并由所述应用主机向存储端的ip认证模块提供的应用主机ip,所述ip认证模块通过应用主机ip和第二文件确认应用主机要访问目标存储卷是否包含于该应用主机ip能够访问的存储卷中,来确定应用主机是否具备第二权限;由具备第一权限和第二权限的应用主机访问目标存储卷。这样,一方面在所述应用主机与所述存储端之间通过cephx认证模块实现cephx认证以保证所述应用主机与所述存储端之间通信的安全,避免“中间人攻击”;另一方面所述应用主机与存储卷之间通过ip认证模块进行应用主机ip认证实现了精细化权限管理粒度,使得原来任意应用主机通过cephx认证后都能访问存储卷,变为只有指定ip的应用主机才能访问特定的存储卷,实现了具体的应用主机能访问具体的存储卷,可以根据需求配置应用主机访问的存储卷,提高了存储端的安全性。并且改变了cephx认证无法从存储端禁止某个通过cephx认证的应用主机访问存储卷的情况,在存储端可以通过改变应用主机ip与存储卷的映射关联关系来禁止该应用主机访问存储卷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是cephx认证方法的示意图;
图2是本发明实施例中通过cephx认证和ip认证实现的ceph分布式块存储接入认证方法示意图;
图3是本发明实施例中的ceph分布式块存储接入认证方法流程图;
图4是本发明实施例中的ceph分布式块存储接入认证装置的架构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面结合附图对本发明进行说明,其中,图1是cephx认证方法的示意图;图2是本发明实施例中通过cephx认证和ip认证实现的ceph分布式块存储接入认证方法示意图;图3是本发明实施例中的ceph分布式块存储接入认证方法流程图;图4是本发明实施例中的ceph分布式块存储接入认证装置的架构示意图。
结合参阅图2与图3所示,本发明提供一种ceph分布式块存储接入认证方法,应用于分布式存储业务的存储端和连接到存储端的应用主机,包括:
s100,为每个连接所述存储端的所述应用主机设置固定的应用主机ip。
s200,所述存储端经cephx认证模块验证所述应用主机是否具备第一权限;具体的,在所述存储端配置所述cephx认证模块,并设定登录信息保存于所述存储端;在每个连接所述存储端的所述应用主机配置对应所述登录信息的用户名及密钥;所述应用主机用过用户名及密钥通过所述cephx认证模块的验证获取第一权限。当连接到一个所述存储端的应用主机接入所述存储端的某一存储卷时,所述应用主机向所述存储端发送包含用户名、密钥以及自身的应用主机ip的数据包。
所述存储端接收所述数据包,所述cephx认证模块获取数据包中的用户名和密钥,所述cephx认证模块验证数据包中的用户名和密钥与所述登录信息是否匹配,如果匹配,则提供用户名和密钥的所述应用主机具备第一权限,所述应用主机能够访问存储端,如果不匹配,则提供用户名和密钥的所述应用主机不具备第一权限,所述应用主机不能访问存储端。
s300,具备第一权限的应用主机经ip认证模块验证所述应用主机是否具备第二权限;具体的,获取需要连接在所述存储端的应用主机的应用主机名称,如:hosta、hostb、hostc……,获取所述应用主机的应用主机ip,如ip1、ip2、ip3……,在所述存储端的创建第一文件,所述第一文件中包含应用主机名称与相对应的应用主机ip,如hosta:ip1,hostb:ip2,hostc:ip3……,将所述第一文件保存于所述存储端的指定目录下。具体实施过程中,所述存储端配置所述第一文件的读取接口,用户通过所述读取接口读取所述第一文件的内容,获知连接到所述存储端的所述应用主机。所述存储端配置第一文件的修改接口,通过第一文件的修改接口执行第一操作修改所述第一文件,所述第一操作包括向所述第一文件增加应用主机名称与相应的应用主机ip,从所述第一文件中删除应用主机名称与相应的应用主机ip。
读取所述第一文件,获取应用主机名称以及应用主机ip;根据所述存储端内包含的存储卷和所述第一文件中的应用主机名称与应用主机ip,手动在所述存储端创建包含存储卷映射应用主机ip的第二文件;如:存储端的存储卷包括:存储卷a、存储卷b、存储卷c……,在hosta需要访问存储卷a、hostb需要访问存储卷b以及hostc需要访问存储卷c的条件下,第二文件中存储卷与应用主机ip的映射为存储卷a:ip1,存储卷b:ip2,存储卷c:ip3。具体实施过程中,所述第二文件保存于所述存储端的指定目录下,所述存储端配置第二文件的修改接口,手动通过第二文件的修改接口执行第二操作修改所述第二文件,所述第二操作包括向所述第二文件添加应用主机ip,并映射于存储端相应的存储卷,从所述第二文件中删除应用主机ip,并与相应的存储卷解映射;向所述第二文件添加存储卷,并映射相应的应用主机ip,从所述第二文件中删除存储卷,并与相应的应用主机ip解映射。
所述应用主机访问所述存储端的相应的存储卷时,所述ip认证模块获取所述数据包中的应用主机ip;所述ip认证模块根据应用主机ip和所述第二文件来获取应用主机ip在所述第二文件中对应的全部存储卷,如:ip1对应的存储卷为a,如果目标存储卷包含于所述存储卷,则所述应用主机具备第二权限。例如:如果hosta访问的目标存储卷为存储卷c,则hosta不具备第二权限,如果hosta访问的目标存储卷为存储卷a,则hosta具备第二权限。
s400,判断所述应用主机是否同时具备所述第一权限和所述第二权限,如果所述应用主机具备所述第一权限和所述第二权限则允许所述应用主机访问所述存储端中相应的所述存储卷。
本发明提供一种ceph分布式块存储业务平面接入认证介质,存储至少一条指令,执行所述指令实现所述ceph分布式块存储接入认证方法。
本发明提供一种ceph分布式块存储业务平面接入认证装置,包括存储端和应用主机,其中,
所述存储端包括第一处理单元、第一总线单元、第一接口单元、第一存储单元,所述第一总线单元电性连接所述第一处理单元、所述第一存储单元以及所述第一接口单元;
所述应用主机包括第二处理单元、第二存储单元、第二总线单元以及第二接口单元,所述第二总线单元电性连接所述第二处理单元、所述第二存储单元以及所述第二接口单元;
所述第一接口单元电性连接所述第二接口单元。
具体实施过程中,所述第一处理单元和所述第一存储单元配置cephx认证模块和ip认证模块,所述第二处理单元和所述第二存储单元通过所述第二接口单元和所述第一接口单元向所述cephx认证模块发送用户名和密钥,向所述ip认证模块发送应用主机ip。所述cpehx认证模块验证所述用户名和密钥是否与登录信息匹配来验证所述应用主机是否具有第一权限,所述ip认证模块通过所述应用主机ip和第二文件获取应用主机ip能够访问的存储卷,通过判断应用主机需要访问的目标存储卷是否包含于应用主机ip能够访问的存储卷来验证所述应用主机是否具有第二权限,允许同时具有第一权限与第二权限的应用主机访问目标存储卷。
本发明提出的一种ceph分布式块存储接入认证方法,在应用主机接入目标存储卷时,由所述应用主机向所述存储端的cephx认证模块提供的用户名和密钥,所述cephx认证模块确认用户名和密钥是否与登录信息匹配来确认所述应用主机是否具备第一权限,并由所述应用主机向存储端的ip认证模块提供的应用主机ip,所述ip认证模块通过应用主机ip和第二文件确认应用主机要访问目标存储卷是否包含于该应用主机ip能够访问的存储卷中,来确定应用主机是否具备第二权限;由具备第一权限和第二权限的应用主机访问目标存储卷。这样,一方面在所述应用主机与所述存储端之间通过cephx认证模块实现cephx认证以保证所述应用主机与所述存储端之间通信的安全,避免“中间人攻击”;另一方面所述应用主机与存储卷之间通过ip认证模块进行应用主机ip认证实现了精细化权限管理粒度,使得原来任意应用主机通过cephx认证后都能访问存储卷,变为只有指定ip的应用主机才能访问特定的存储卷,实现了具体的应用主机能访问具体的存储卷,可以根据需求配置应用主机访问的存储卷,提高了存储端的安全性。并且改变了cephx认证无法从存储端禁止某个通过cephx认证的应用主机访问存储卷的情况,在存储端可以通过改变应用主机ip与存储卷的映射关联关系来禁止该应用主机访问存储卷。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
1.一种ceph分布式块存储接入认证方法,应用于分布式存储业务的存储端和连接到所述存储端的应用主机,其特征在于,包括:
为每个连接所述存储端的应用主机设置固定的应用主机ip;
所述存储端经cephx认证模块验证所述应用主机是否具备第一权限;
具备第一权限的应用主机经ip认证模块验证所述应用主机是否具备第二权限;
判断所述应用主机是否同时具备第一权限和第二权限,如果所述应用主机具备第一权限和第二权限则允许应用主机访问所述存储端中相应的存储卷。
2.根据权利要求1所述的ceph分布式块存储接入认证方法,其特征在于,在所述存储端配置cephx认证模块,设定cephx认证模块的登录信息并保存于所述存储端;在每个连接所述存储端的应用主机配置对应所述登录信息的用户名及密钥;
所述存储端经cephx认证模块验证所述应用主机是否具备第一权限包括:
访问所述存储端时,所述应用主机向cephx认证模块提供用户名及密钥,如果用户名与密钥匹配所述cephx认证模块中的登录信息,则所述应用主机具备第一权限。
3.根据权利要求1所述的ceph分布式块存储接入认证方法,其特征在于,在所述存储端的创建第一文件,所述第一文件中包含应用主机名称与应用主机名称相对应的应用主机ip。
4.根据权利要求2所述的ceph分布式块存储接入认证方法,其特征在于,读取所述第一文件,获取所述应用主机名称以及所述应用主机ip;根据存储端的存储卷和所述第一文件,在所述存储端创建包含存储卷映射应用主机ip的第二文件;
具备第一权限的应用主机经ip认证模块验证所述应用主机是否具备第二权限包括:所述应用主机访问所述存储端的相应的存储卷时,向所述ip认证模块提供所述应用主机ip;
所述ip认证模块根据获取的所述应用主机ip和所述第二文件来获取所述应用主机ip在所述第二文件中对应的全部存储卷,如果目标存储卷包含于所述存储卷,则所述应用主机具备第二权限。
5.根据权利要求3所述的ceph分布式块存储接入认证方法,其特征在于,执行第一操作修改所述第一文件,所述第一操作包括向所述第一文件增加应用主机名称与相应的应用主机ip,从所述第一文件中删除应用主机名称与相应的应用主机ip。
6.根据权利要求5所述的ceph分布式块存储接入认证方法,其特征在于,执行第二操作修改所述第二文件,所述第二操作包括向所述第二文件添加应用主机ip,并映射于存储端相应的存储卷,从所述第二文件中删除应用主机ip,并与相应的存储卷解映射;向所述第二文件添加存储卷,并映射相应的应用主机ip,从所述第二文件中删除存储卷,并与相应的应用主机ip解映射。
7.一种ceph分布式块存储业务平面接入认证介质,其特征在于,存储至少一条指令,执行所述指令实现如权利要求1-6任一所述ceph分布式块存储接入认证方法。
8.一种ceph分布式块存储业务平面接入认证装置,其特征在于,包括存储端和应用主机,其中,
所述存储端包括第一处理单元、第一总线单元、第一接口单元、第一存储单元,所述第一总线单元电性连接所述第一处理单元、所述第一存储单元以及所述第一接口单元;
所述应用主机包括第二处理单元、第二存储单元、第二总线单元以及第二接口单元,所述第二总线单元电性连接所述第二处理单元、所述第二存储单元以及所述第二接口单元;
所述第一接口单元电性连接所述第二接口单元。
9.根据权利要求8所述的ceph分布式块存储业务平面接入认证装置,其特征在于,所述第一处理单元和所述第一存储单元配置cephx认证模块和ip认证模块,所述第二处理单元和所述第二存储单元通过所述第二接口单元和所述第一接口单元向所述cephx认证模块发送用户名和密钥,向所述ip认证模块发送应用主机ip,所述cephx认证模块根据用户名和密钥验证应用主机能否访问存储端,所述ip认证模块通过应用主机ip验证应用主机能否访问存储卷。
技术总结