Rook Ceph中MDS存活探针脚本执行失败问题分析与解决方案

2025-05-18 13:29:36作者：庞队千Virginia

问题背景

在Rook Ceph存储系统中，元数据服务(MDS)是CephFS文件系统的核心组件。为了确保MDS服务的健康运行，Rook为MDS容器配置了存活探针(liveness probe)脚本。该脚本通过执行ceph fs dump命令来检查MDS状态，但近期发现该脚本在某些环境下会出现执行失败的情况。

问题现象

当MDS存活探针脚本执行时，会出现以下错误信息：

2025-02-05T14:50:45.548+0000 7f23686ac700 -1 auth: unable to find a keyring on /etc/ceph/ceph.client.admin.keyring,/etc/ceph/ceph.keyring,/etc/ceph/keyring,/etc/ceph/keyring.bin: (2) No such file or directory
2025-02-05T14:50:45.548+0000 7f23686ac700 -1 AuthRegistry(0x7f23600647f8) no keyring found at /etc/ceph/ceph.client.admin.keyring,/etc/ceph/ceph.keyring,/etc/ceph/keyring,/etc/ceph/keyring.bin, disabling cephx
[errno 13] RADOS permission denied (error connecting to the cluster)

尽管脚本中已经明确指定了keyring文件路径(/etc/ceph/keyring-store/keyring)，但Ceph客户端仍然会尝试查找默认位置下的keyring文件，导致认证失败。

根本原因分析

经过深入调查，发现该问题主要由以下几个因素导致：

Ceph客户端默认行为：Ceph客户端会按照特定顺序查找keyring文件，即使命令行中已指定--keyring参数，它仍会先尝试查找默认位置的keyring文件。
认证流程问题：当使用--keyring参数指定keyring文件时，该参数被作为备选方案处理，而不是首选方案。
MDS客户端名称缺失：脚本中未明确指定MDS客户端名称(-n "mds.$MDS_ID")，导致认证流程不够明确。

解决方案

针对上述问题，开发团队提出了两种有效的解决方案：

方案一：使用CEPH_ARGS环境变量

通过设置CEPH_ARGS环境变量，可以确保keyring参数被优先处理：

export CEPH_ARGS="--keyring $KEYRING"
ceph fs dump -n "mds.$MDS_ID" --mon-host="$ROOK_CEPH_MON_HOST" --mon-initial-members="$ROOK_CEPH_MON_INITIAL_MEMBERS" --format json

这种方法可以避免Ceph客户端查找默认位置的keyring文件，直接使用指定的keyring文件进行认证。

方案二：使用CEPH_KEYRING环境变量

另一种替代方案是使用CEPH_KEYRING环境变量：

export CEPH_KEYRING="$KEYRING"
ceph fs dump -n "mds.$MDS_ID" --mon-host="$ROOK_CEPH_MON_HOST" --mon-initial-members="$ROOK_CEPH_MON_INITIAL_MEMBERS" --format json

这两种方案都能有效解决keyring查找失败的问题，确保存活探针脚本能够正确执行。

技术细节

MDS权限配置：MDS客户端需要至少以下权限才能执行ceph fs dump命令：
- mon = "allow r"：允许读取监控信息
- osd = "allow *"：允许所有OSD操作
- mds = "allow"：允许MDS操作
Ceph客户端行为：Ceph客户端在初始化时会根据不同的服务类型(MDS/OSD等)设置不同的默认keyring路径，这是导致问题的深层原因之一。
参数处理顺序：Ceph客户端处理认证参数的顺序为：环境变量 > 配置文件 > 命令行参数，因此通过环境变量设置认证信息更为可靠。