Openstack对象存储是一个可扩展的对象存储系统,它不是传统意义上的文件系统,你不能像传统的SAN或者NAS那样挂载这个系统。由于openstack对象存储从一个不同的角度来达到存储的目的,你需要花一些时间来回顾一下openstack对象存储里的一些关键概念。
2.1 账户和账户服务器
Openstack对象存储会被很多不同的存储消费者或者客户使用,每一个用户必须使用一个认证系统来对他们自身进行认证。
运行账户服务的节点和独立的账户是两个概念。账户服务器是存储系统的一部分,必须和容器服务器、对象服务器同时配置。
2.2 身份认证和访问权限
你必须通过一个认证服务来获得openstack对象存储连接的参数和一个认证令牌(authentication token)。这个令牌在接下来所有的容器或对象操作中都需要传递到对象存储的代理服务器。你可以使用swauth认证服务作为中间件,在https://github.com/gholt/swauth下载。你也可以和openstack认证服务keystone进行整合。
你可以对用户或者账户进行针对对象的访问控制,使用方法是X-Container-Read:账户名和X-Container-Write:账户名:用户名,这允许账户名所对应的所有用户具有读权限,但是只有限定的账户名:用户名才具有写权限。你可以授予一个对象公共的访问权限,但是使用referer header来限制公有权限以防止site-based内容窃取,比如hot-linking(这句话不懂)。公共容器的设置被用作访问控制列表之上的默认的认证,比如,使用X-Container-Read:referer:any 允许任何人读容器中的内容,无视其他认证设置。
一般来讲,每个用户拥有他自己的存储账户并且对该账户有所有的权限。用户必须像上面描述过的一样使用它们的证书进行认证,但是一旦认证成功,他们就可以在那个账户内创建或删除容器和对象。一个来自其他账户的用户想访问该账户的唯一方式是他们共享一个你的认证系统产生的API访问密钥或者一个会话令牌(session token)
2.3 容器和对象
一个容器是你的数据的一个存储单位,为你提供了一种管理你的数据的方式。你可以把容器想象成Windows的文件夹或者UNIX的目录。一个容器和其他这些文件系统概念的基本的区别是容器不能嵌套。不过你可以在你的账户内创建无限多个容器。数据必须存储在容器中,所以你在上传数据前必须现在你的账户内创建一个容器。
对容器名的唯一的限制是容器名不能包含斜线(/)而且必须小于256字节。注意这个长度限制是将容器名进行URL编码后的长度限制。比如一个容器的名字是Course Docs,那么它的URL编码就是Course%20Docs,所以这个名字的长度是13而不是11.
一个对象是基本的存储实体和代表你存储在openstack对象存储系统中的描述文件的元数据。当你向openstack对象存储系统上传一个数据时,数据按原样存储(没有压缩和加密)并且包含位置、对象名和任何由key/value对组成的元数据。比如说,你可能会存储一个你的数码照片的备份并以专辑来组织他们,那么每个对象可以打上这样的标签:Album:Caribbean Cruise或者Album:Aspen Ski Trip
对对象名的唯一限制就是他们必须在进行URL编码后小于1024字节。比如说,一个对象的额名字是C++final(v2).txt进行URL编码后是C%2B%2Bfinal%28v2%29.txt,就会有24字节而不是16个字节。
对象存储允许上传的最大的文件大小是5GB,最小是0字节。你可以使用内置的大对象支持和swift工具来检索大于5GB的文件。
对于元数据,对于每一个对象不能超过90对队里的key/value对,所有key/value对的长度不能超过4096字节。
Warning:对象存储API使用会执行消息头的http协议,比如传输元数据的命令是事件敏感的。所以不要期望元数据条目被隐藏(其实这句话我没看懂什么意思)
2.4 操作
操作就是你在openstack对象存储系统里实施的行为,比如创建或删除容器、上传或下载对象等等。完整的操作列表在开发者指南里面列出了,可以通过REST web服务API或某个具体语言的API进行操作,目前,我们支持Python、PHP、Java、Ruby和C#/.NET。
提醒:所有的操作都必须包含一个从你的认证系统得到的有效的认证令牌。
2.5 特定语言API绑定
提供了一组封装了RESTAPI的绑定于特定语言的工具,包括Python、PHP、Java、Ruby和C#/.NET。
提醒:其中关于认证的部分不懂的话就要先去看看keystone是如何使用的