Cephadm 可以將ceph.conf檔案和客戶端金鑰環檔案的副本分發到主機。通常最好將配置和金鑰環的副本儲存在 client.admin 用於通過 CLI 管理叢集的任何主機上。預設情況下，cephadm 對任何具有 _admin 標籤的節點（通常包括引導主機）執行此操作。

當客戶端金鑰環被置於管理之下時，cephadm 將：

• 根據指定的放置規範構建目標主機列表（請參閱守護程序放置）
• 在指定的主機上儲存/etc/ceph/ceph.conf檔案的副本
• 在指定主機上儲存金鑰環檔案的副本
• 根據需要更新ceph.conf檔案（例如，由於叢集監視器的更改）
• 如果實體的金鑰被更改（例如，通過命令 ceph auth ...） ，則更新金鑰環檔案
• 確保金鑰環檔案具有指定的所有權和指定的模式
• 禁用客戶端金鑰環管理時刪除金鑰環檔案
• 如果更新了金鑰環放置規範（根據需要），則從舊主機中刪除金鑰環檔案

列出客戶端金鑰環

要檢視當前正在管理的客戶端金鑰環列表，請執行以下命令：

ceph orch client-keyring ls

管理金鑰環

要管理金鑰環，請執行以下形式的命令：

ceph orch client-keyring set <entity> <placement> [--mode=<mode>] [--owner=<uid>.<gid>] [--path=<path>]
 

• 預設情況下，路徑是/etc/ceph/client.{entity}.keyring，這是 Ceph 預設顯示的位置。指定備用位置時要小心，因為現有檔案可能會被覆蓋。
• *（所有主機）的放置是常見的。
• mode預設為0600（0:0表示使用者 root和組 root）。

例如，要建立client.rbd金鑰並將其部署到帶有 rbd-client 標籤的主機並使其組可通過 uid/gid 107 (qemu) 讀取，請執行以下命令：

ceph auth get-or-create-key client.rbd mon 'profile rbd' mgr 'profile rbd' osd 'profile rbd pool=my_rbd_pool'
ceph orch client-keyring set client.rbd label:rbd-client --owner 107:107 --mode 640
 

生成的金鑰環檔案是：

-rw-r-----. 1 qemu qemu 156 Apr 21 08:47 /etc/ceph/client.client.rbd.keyring

禁用金鑰環檔案管理

要禁用金鑰環檔案的管理，請執行以下形式的命令：

ceph orch client-keyring rm <entity>

筆記: 這將刪除該實體之前寫入叢集節點的所有金鑰環檔案。