Skip to main content

客户端权限控制(ACL)

JuiceFS 文件系统的元数据(如目录结构、文件属性和时间戳等)保存在 Metadata 服务中,通过令牌(Token)进行授权访问。用户可以通过 JuiceFS Web 控制台管理令牌,支持基于 IP 范围、读写权限和挂载子目录等的访问规则。

访问令牌

运行 juicefs mount 挂载文件系统或 juicefs auth 进行交互认证时,系统将提示输入此令牌。默认令牌可以在文件系统设置页面找到,你也可以设置多个创建多个令牌,为每一个配置不同的 ACL 以及其他挂载设置。

默认令牌允许用户从任意 IP 范围对整个文件系统进行读写操作。如需进行更精细的配置,可以前往访问控制管理界面。

令牌分为两类,一类用于客户端访问文件系统内容,另一类仅供访问监控 API。

客户端访问令牌

客户端访问令牌用于授权客户端访问文件系统,并且控制着一些客户端行为,你可以在「控制台 → 访问控制」标签页进行配置。选项说明如下:

  • IP 范围:仅允许来自指定 IP 范围的访问
  • 读写权限
    • 只读:仅允许读操作(openreadreaddir 等)。
    • 可读可追加写:在读操作的基础上同时允许以追加模式打开文件并写入。
    • 可读可写:允许所有读写操作。
  • 挂载选项
    • 挂载子目录:只能挂载这个子目录之下的路径,通过 --subdir 参数指定。
    • 允许后台任务:客户端默认开启后台任务,如数据块删除、碎片合并及文件系统跨区域同步等(该功能是全局的,不受读写、子目录权限影响)。因此对于低带宽的机器,建议禁用后台任务,避免影响系统整体性能。

API 访问令牌

JuiceFS 通过 Prometheus API 为每个文件系统导出监控数据,此列表中的令牌仅可用于访问监控 API,无法用于挂载文件系统。