Ceph 网络配置参考.docx

逆风飞翔

428

11页

0次

2021-12-25

5墨值下载

Ceph

网络配置参考

网络配置对构建高性能

Ceph

存储集群来说相当重要。

Ceph

存储集群不会代表

Ceph

客

户端执行请求路由或调度，相反，

Ceph

客户端（如块设备、

CephFS

、

REST

网关）直

接向

OSD

请求，然后

OSD

为客户端执行数据复制，也就是说复制和其它因素会额外增加

集群网的负载。

我们的快速入门配置提供了一个简陋的

Ceph

配置文件，其中只设置了监视器

地址和守

护进程所在的主机名。如果没有配置集群网，那么

Ceph

假设你只有一个“公共网”。只用

一个网可以运行

Ceph

，但是在大型集群里用单独的“集群”网可显著地提升性能。

我们建议用两个网络运营

Ceph

存储集群：一个公共网（前端）和一个集群网（后端）。

为此，各节点得配备多个网卡，见硬件推荐——网络。

运营两个独立网络的考量主要有：

性能：

OSD

为客户端处理数据复制，复制多份时

OSD

间的网络负载势必会影响

到客户端和

Ceph

集群的通讯，包括延时增加、产生性能问题；恢复和重均衡也会

显著增加公共网延时。关于

Ceph

如何复制参见伸缩性和高可用性；关于心跳流量

参见监视器与

OSD

的交互。

安全：大多数人都是良民，很少的一撮人喜欢折腾拒绝服务攻击（

DoS

）。当

OSD

间的流量失控时，归置组再也不能达到

active + clean

状态，这样用户

就不能读写数据了。挫败此类攻击的一种好方法是维护一个完全独立的集群网，使

之不能直连互联网；另外，请考虑用消息签名防止欺骗攻击。

防火墙

守护进程默认会绑定到

6800:7300

间的端口，你可以更改此范围。更改防火墙配置前先

检查下

iptables

配置。

sudo iptables -L

一些

Linux

发行版的规则拒绝除

SSH

之外的所有网卡的所有入栈连接，例如：

REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

你得先删掉公共网和集群网对应的这些规则，然后再增加安全保护规则。

监视器防火墙

监视器默认监听

6789

端口，而且监视器总是运行在公共网。按下例增加规则时，要把

{

iface}

替换为公共网接口（如

eth0

、

eth1

等等）、

{ip-address}

替换为公共网

、

{netmask}

替换为公共网掩码。

sudo iptables -A INPUT -i {iface} -p tcp -s {ip-address}/

{netmask} --dport 6789 -j ACCEPT

MDS

防火墙

元数据服务器会监听公共网

6800

以上的第一个可用端口。需要注意的是，这种行为是不

确定的，所以如果你在同一主机上运行多个

OSD

或

MDS

、或者在很短的时间内重启了多

个守护进程，它们会绑定更高的端口号；所以说你应该预先打开整个

6800-7300

端口区间。

按下例增加规则时，要把

{iface}

替换为公共网接口（如

eth0

、

eth1

等等）、

{ip

-address}

替换为公共网

、

{netmask}

替换为公共网掩码。

例如：

sudo iptables -A INPUT -i {iface} -m multiport -p tcp -s {ip-

address}/{netmask} --dports 6800:7300 -j ACCEPT

OSD

防火墙

of 11

5墨值下载

ceph

关注

评论