1.4. Ceph API モジュールの有効化と保護
Red Hat Ceph Storage Dashboard モジュールは、SSL セキュアな接続で、ストレージクラスターに RESTful API アクセスを提供します。
SSL を無効にすると、ユーザー名およびパスワードが暗号化されずに Red Hat Ceph ストレージダッシュボードに送信されます。
前提条件
- Ceph Monitor ノードへの root レベルのアクセス。
-
少なくとも 1 つの
ceph-mgrデーモンがアクティブであることを確認します。 -
ファイアウォールを使用する場合は、SSL の場合は TCP ポート
8443、SSL なしの TCP ポート8080が、アクティブなceph-mgrデーモンのあるノードでオープンになっていることを確認してください。
手順
Cephadm シェルにログインします。
例
root@host01 ~]# cephadm shell
RESTful プラグインを有効にします。
[ceph: root@host01 /]# ceph mgr module enable dashboard
SSL 証明書を設定します。
組織の認証局 (CA) が証明書を提供する場合は、証明書ファイルを使用して設定されます。
構文
ceph dashboard set-ssl-certificate HOST_NAME -i CERT_FILE ceph dashboard set-ssl-certificate-key HOST_NAME -i KEY_FILE
例
[ceph: root@host01 /]# ceph dashboard set-ssl-certificate -i dashboard.crt [ceph: root@host01 /]# ceph dashboard set-ssl-certificate-key -i dashboard.key
一意のノードベースの証明書を設定する場合は、HOST_NAME をコマンドに追加します。
例
[ceph: root@host01 /]# ceph dashboard set-ssl-certificate host01 -i dashboard.crt [ceph: root@host01 /]# ceph dashboard set-ssl-certificate-key host01 -i dashboard.key
または、自己署名証明書を生成することもできます。ただし、自己署名証明書を使用しても、HTTPS プロトコルのセキュリティー上の利点を十分に享受することはできません。
[ceph: root@host01 /]# ceph dashboard create-self-signed-cert
警告自己署名証明書についてエラーを表示する最新の Web ブラウザーのほとんどは、安全な接続を確立する前に確認する必要があります。
ユーザーを作成し、パスワードを設定し、ロールを設定します。
構文
echo -n "PASSWORD" > PATH_TO_FILE/PASSWORD_FILE ceph dashboard ac-user-create USER_NAME -i PASSWORD_FILE ROLE
例
[ceph: root@host01 /]# echo -n "p@ssw0rd" > /root/dash-password.txt [ceph: root@host01 /]# ceph dashboard ac-user-create user1 -i /root/dash-password.txt administrator
この例では、
administratorロールを持つuser1という名前のユーザーを作成します。RESTful プラグインの Web ページに接続します。Web ブラウザーを開き、以下の URL を入力します。
構文
https://HOST_NAME:8443例
https://host01:8443
自己署名証明書を使用した場合は、セキュリティー例外を確認します。
関連情報
-
ceph dashboard --helpコマンド -
https://HOST_NAME:8443/docページ。HOST_NAME は、実行中のceph-mgrインスタンスを持つノードの IP アドレスまたは名前です。 - Red Hat Enterprise Linux 8 セキュリティー強化ガイド の内容を確認してください。
