Object Gateway ガイド

手順

1. Cephadm シェルにログインします。

   例

   [root@host01 ~]# cephadm shell

2. rgw モジュールを有効にします。

   例

   [ceph: root@host01 /]# ceph mgr module enable rgw

3. コマンドラインまたは yaml 仕様ファイルを使用して、Ceph Object Gateway レルムをブートストラップします。

   • オプション 1: コマンドラインインターフェイスを使用します。

     構文

     ceph rgw realm bootstrap [--realm name REALM_NAME] [--zonegroup-name ZONEGROUP_NAME] [--zone-name ZONE_NAME] [--port PORT_NUMBER] [--placement HOSTNAME] [--start-radosgw]

     例

     [ceph: root@host01 /]# ceph rgw realm bootstrap --realm-name myrealm --zonegroup-name myzonegroup --zone-name myzone --port 5500 --placement="host01 host02" --start-radosgw
     Realm(s) created correctly. Please, use 'ceph rgw realm tokens' to get the token.

   • オプション 2: yaml 仕様ファイルを使用します。

     1. root ユーザーとして、yaml ファイルを作成します。

        構文

        rgw_realm: REALM_NAME
        rgw_zonegroup: ZONEGROUP_NAME
        rgw_zone: ZONE_NAME
        placement:
          hosts:
           - HOSTNAME_1
           - HOSTNAME_2

        例

        [root@host01 ~]# cat rgw.yaml
        
        rgw_realm: myrealm
        rgw_zonegroup: myzonegroup
        rgw_zone: myzone
        placement:
          hosts:
           - host01
           - host02

     2. YAML ファイルをコンテナー内のディレクトリーにマウントします。

        例

        [root@host01 ~]# cephadm shell --mount rgw.yaml:/var/lib/ceph/rgw/rgw.yaml

     3. レルムをブートストラップします。

        例

        [ceph: root@host01 /]# ceph rgw realm bootstrap -i /var/lib/ceph/rgw/rgw.yaml

        注記

        rgw モジュールで使用される仕様ファイルの形式は、オーケストレーターで使用されるものと同じです。したがって、SSL 証明書などの高度な設定機能を含む、オーケストレーションがサポートする Ceph Object Gateway パラメーターを提供できます。

4. 利用可能なトークンをリストします。

   例

   [ceph: root@host01 /]# ceph rgw realm tokens | jq
   
   [
     {
       "realm": "myrealm",
       "token": "ewogICAgInJlYWxtX25hbWUiOiAibXlyZWFsbSIsCiAgICAicmVhbG1faWQiOiAiZDA3YzAwZWYtOTA0MS00ZjZlLTg4MDQtN2Q0MDI0MDU1NmFlIiwKICAgICJlbmRwb2ludCI6ICJodHRwOi8vdm0tMDA6NDMyMSIsCiAgICAiYWNjZXNzX2tleSI6ICI5NTY1VFZSMVFWTExFRzdVNFIxRCIsCiAgICAic2VjcmV0IjogImQ3b0FJQXZrNEdYeXpyd3Q2QVZ6bEZNQmNnRG53RVdMMHFDenE3cjUiCn1="
     }
   ]

   注記

   Ceph Object Gateway デーモンがデプロイされる前に上記のコマンドを実行すると、まだエンドポイントがないためトークンがないという旨のメッセージが表示されます。

手順

1. Cephadm シェルにログインします。

   例

   [root@host01 ~]# cephadm shell

2. rgw モジュールを有効にします。

   例

   [ceph: root@host01 /]# ceph mgr module enable rgw

3. コマンドラインまたは yaml 仕様ファイルを使用して、Ceph Object Gateway レルムをブートストラップします。

   • オプション 1: コマンドラインインターフェイスを使用します。

     構文

     ceph rgw realm bootstrap [--realm name REALM_NAME] [--zonegroup-name ZONEGROUP_NAME] [--zone-name ZONE_NAME] [--port PORT_NUMBER] [--placement HOSTNAME] [--start-radosgw]

     例

     [ceph: root@host01 /]# ceph rgw realm bootstrap --realm-name myrealm --zonegroup-name myzonegroup --zone-name myzone --port 5500 --placement="host01 host02" --start-radosgw
     Realm(s) created correctly. Please, use 'ceph rgw realm tokens' to get the token.

   • オプション 2: yaml 仕様ファイルを使用します。

     1. root ユーザーとして、yaml ファイルを作成します。

        構文

        rgw_realm: REALM_NAME
        rgw_zonegroup: ZONEGROUP_NAME
        rgw_zone: ZONE_NAME
        placement:
          hosts:
           - HOSTNAME_1
           - HOSTNAME_2
        spec:
          rgw_frontend_port: PORT_NUMBER
        zone_endpoints: http://RGW_HOSTNAME_1:RGW_PORT_NUMBER_1, http://RGW_HOSTNAME_2:RGW_PORT_NUMBER_2

        例

        [root@host01 ~]# cat rgw.yaml
        
        rgw_realm: myrealm
        rgw_zonegroup: myzonegroup
        rgw_zone: myzone
        placement:
          hosts:
           - host01
           - host02
        spec:
          rgw_frontend_port: 5500
        zone_endpoints: http://<rgw_host1>:<rgw_port1>, http://<rgw_host2>:<rgw_port2>

     2. YAML ファイルをコンテナー内のディレクトリーにマウントします。

        例

        [root@host01 ~]# cephadm shell --mount rgw.yaml:/var/lib/ceph/rgw/rgw.yaml

     3. レルムをブートストラップします。

        例

        [ceph: root@host01 /]# ceph rgw realm bootstrap -i /var/lib/ceph/rgw/rgw.yaml

        注記

        rgw モジュールで使用される仕様ファイルの形式は、オーケストレーターで使用されるものと同じです。したがって、SSL 証明書などの高度な設定機能を含む、オーケストレーションがサポートする Ceph Object Gateway パラメーターを提供できます。

4. 利用可能なトークンをリストします。

   例

   [ceph: root@host01 /]# ceph rgw realm tokens | jq
   
   [
     {
       "realm": "myrealm",
       "token": "ewogICAgInJlYWxtX25hbWUiOiAibXlyZWFsbSIsCiAgICAicmVhbG1faWQiOiAiZDA3YzAwZWYtOTA0MS00ZjZlLTg4MDQtN2Q0MDI0MDU1NmFlIiwKICAgICJlbmRwb2ludCI6ICJodHRwOi8vdm0tMDA6NDMyMSIsCiAgICAiYWNjZXNzX2tleSI6ICI5NTY1VFZSMVFWTExFRzdVNFIxRCIsCiAgICAic2VjcmV0IjogImQ3b0FJQXZrNEdYeXpyd3Q2QVZ6bEZNQmNnRG53RVdMMHFDenE3cjUiCn1="
     }
   ]

   注記

   Ceph Object Gateway デーモンがデプロイされる前に上記のコマンドを実行すると、まだエンドポイントがないためトークンがないという旨のメッセージが表示されます。

5. これらのトークンを使用してセカンダリーゾーンを作成し、既存のレルムに参加します。

   1. root ユーザーとして、yaml ファイルを作成します。

      例

      [root@host01 ~]# cat zone-spec.yaml
      rgw_zone: my-secondary-zone
      rgw_realm_token: <token>
      placement:
        hosts:
         - ceph-node-1
         - ceph-node-2
      spec:
        rgw_frontend_port: 5500

   2. コンテナー内のディレクトリーに zone-spec.yaml ファイルをマウントします。

      例

      [root@host01 ~]# cephadm shell --mount zone-spec.yaml:/var/lib/ceph/radosgw/zone-spec.yaml

   3. セカンダリーゾーンで rgw モジュールを有効にします。

      例

      [ceph: root@host01 /]# ceph mgr module enable rgw

   4. セカンダリーゾーンを作成します。

      例

      [ceph: root@host01 /]# ceph rgw zone create -i /var/lib/ceph/radosgw/zone-spec.yaml

手順

1. NVMe ドライブのマウントポイントを作成します。

   構文

   mkfs.ext4 nvme-drive-path

   例

   [ceph: root@host01 /]# mkfs.ext4 /dev/nvme0n1
   mount /dev/nvme0n1 /mnt/nvme0n1/

2. キャッシュディレクトリーのパスを作成します。

   構文

   mkdir <nvme-mount-path>/cache-directory-name

   例

   [ceph: root@host01 /]# mkdir /mnt/nvme0n1/rgw_datacache

3. nvme-mount-path および rgw_d3n_l1_datacache_persistent_path に +rwx 権限を付与します。

   構文

   chmod a+rwx nvme-mount-path ; chmod a+rwx rgw_d3n_l1_datacache_persistent_path

   例

   [ceph: root@host01 /]# chmod a+rwx /mnt/nvme0n1 ; chmod a+rwx /mnt/nvme0n1/rgw_datacache/

4. extra_container_args を使用して RGW 仕様ファイルを作成または変更し、rgw_d3n_l1_datacache_persistent_path を podman Unit.run に追加します。

   構文

   "extra_container_args:
             "-v"
             "rgw_d3n_l1_datacache_persistent_path:rgw_d3n_l1_datacache_persistent_path"
   			"

   例

   [ceph: root@host01 /]# cat rgw-spec.yml
   	service_type: rgw
   	service_id: rgw.test
   	placement:
   		hosts:
   		    host1
   		    host2
   		extra_container_args:
   		    "-v"
   		    "/mnt/nvme0n1/rgw_datacache/:/mnt/nvme0n1/rgw_datacache/"

   注記

   単一ホストに RGW の複数のインスタンスがある場合は、インスタンスごとに個別の rgw_d3n_l1_datacache_persistent_path を作成し、各パスを extra_container_args に追加する必要があります。

   例:

   各ホストの RGW の 2 つのインスタンスの場合、rgw_d3n_l1_datacache_persistent_path の下に 2 つの個別の キャッシュディレクトリー、/mnt/nvme0n1/rgw_datacache/rgw1 および /mnt/nvme0n1/rgw_datacache/rgw2 を作成します。

   rgw 仕様ファイルの extra_container_args の例:

   "extra_container_args:
   	"-v"
   	"/mnt/nvme0n1/rgw_datacache/rgw1/:/mnt/nvme0n1/rgw_datacache/rgw1/"
   	"-v"
   	"/mnt/nvme0n1/rgw_datacache/rgw2/:/mnt/nvme0n1/rgw_datacache/rgw2/"
   "

   rgw-spec.yml の例:

   [ceph: root@host01 /]# cat rgw-spec.yml
   	service_type: rgw
   		service_id: rgw.test
   		placement:
   			hosts:
   				host1
   				host2
   			count_per_host: 2
   			extra_container_args:
   				"-v"
   				"/mnt/nvme0n1/rgw_datacache/rgw1/:/mnt/nvme0n1/rgw_datacache/rgw1/"
   				"-v"
   				"/mnt/nvme0n1/rgw_datacache/rgw2/:/mnt/nvme0n1/rgw_datacache/rgw2/"

5. RGW サービスを再デプロイします。

   例

   [ceph: root@host01 /]# ceph orch apply -i rgw-spec.yml

手順の例

1. テストオブジェクトを作成します。

   注記

   テストオブジェクトはキャッシュするには 4 MB より大きい必要があります。

   例

   [ceph: root@host01 /]# fallocate -l 1G ./1G.dat
   [ceph: root@host01 /]# s3cmd mb s3://bkt
   [ceph: root@host01 /]# s3cmd put ./1G.dat s3://bkt

2. オブジェクトの GET を実行します。

   例

   [ceph: root@host01 /]# s3cmd get s3://bkt/1G.dat /dev/shm/1G_get.dat
   download: 's3://bkt/1G.dat' -> './1G_get.dat'  [1 of 1]
   1073741824 of 1073741824   100% in   13s    73.94 MB/s  done

3. キャッシュの作成を確認します。キャッシュは、設定された rgw_d3n_l1_datacache_persistent_path 内のオブジェクト key-name で設定される名前で作成されます。

   例

   [ceph: root@host01 /]# ls -lh /mnt/nvme/rgw_datacache
   
   rw-rr. 1 ceph ceph 1.0M Jun  2 06:18 cc7f967c-0021-43b2-9fdf-23858e868663.615391.1_shadow.ZCiCtMWeu_19wb100JIEZ-o4tv2IyA_1

4. オブジェクトのキャッシュが作成されると、そのオブジェクトに対する次の GET 操作はキャッシュからアクセスされるため、アクセスが高速になります。

   例

   [ceph: root@host01 /]# s3cmd get s3://bkt/1G.dat /dev/shm/1G_get.dat
   download: 's3://bkt/1G.dat' -> './1G_get.dat'  [1 of 1]
   1073741824 of 1073741824   100% in    6s   155.07 MB/s  done

   上記の例では、キャッシュの高速化を示すために、RAM ドライブ (/dev/shm) に書き込みを行っています。

1. S3 静的 Web ホストでは、Ceph Object Gateway インスタンスが使用され、標準の S3/Swift API のユースケースに使用されるインスタンスと区別されます。
2. S3 静的 Web サイトをホストするゲートウェイインスタンスは、標準の S3/Swift API ゲートウェイインスタンスとは別の重複しないドメイン名を持っている必要があります。
3. S3 静的 Web サイトをホストするゲートウェイインスタンスは、標準の S3/Swift API ゲートウェイインスタンスとは別のパブリック向け IP アドレスを使用する必要があります。
4. S3 静的 Web サイトをホストするゲートウェイインスタンスは負荷分散し、必要に応じて HAProxy/keepalived を使用して SSL を終了します。

1. S3 バケットを作成します。バケット名は、Web サイトのドメイン名と同じである場合があります。たとえば、mysite.com のバケット名は mysite.com になります。これは AWS に必要ですが、Ceph には必要ありません。

   • 詳細は、Red Hat Ceph Storage Object Gateway Guide の Static web hosting DNS configuration セクションを参照してください。
2. 静的 Web コンテンツをバケットにアップロードします。コンテンツには、HTML、CSS、クライアント側の JavaScript、イメージ、音声/ビデオコンテンツなどのダウンロード可能なファイルが含まれる場合があります。Web サイトには index.html ファイルが必要で、error.html ファイルも必要な場合があります。
3. Web サイトの内容を確認します。この時点で、バケットの作成者のみがコンテンツにアクセスできます。
4. ファイルにパーミッションを設定し、それらが一般に公開されるようにします。

手順

1. 新規 ingress.yaml ファイルを作成します。

   例

   [root@host01 ~] touch ingress.yaml

2. ingress.yaml ファイルを開いて編集します。以下のオプションを追加し、環境に適した値を追加します。

   構文

   service_type: ingress 1
   service_id: SERVICE_ID 2
   placement: 3
     hosts:
       - HOST1
       - HOST2
       - HOST3
   spec:
     backend_service: SERVICE_ID
     virtual_ip: IP_ADDRESS/CIDR 4
     frontend_port: INTEGER 5
     monitor_port: INTEGER 6
     virtual_interface_networks: 7
       - IP_ADDRESS/CIDR
     ssl_cert: | 8

   1

   ingress に設定される必要があります。

   2

   既存の Ceph Object Gateway サービス名と一致する必要があります。

   3

   haproxy および keepalived コンテナーをデプロイする場所。

   4

   ingress サービスを利用できる仮想 IP アドレス。

   5

   ingress サービスにアクセスするためのポート。

   6

   haproxy ロードバランサーのステータスにアクセスするためのポート。

   7

   利用可能なサブネットのオプションリスト。

   8

   オプションの SSL 証明書および秘密鍵。

   例

   service_type: ingress
   service_id: rgw.foo
   placement:
     hosts:
       - host01.example.com
       - host02.example.com
       - host03.example.com
   spec:
     backend_service: rgw.foo
     virtual_ip: 192.168.1.2/24
     frontend_port: 8080
     monitor_port: 1967
     virtual_interface_networks:
       - 10.10.0.0/16
     ssl_cert: |
       -----BEGIN CERTIFICATE-----
       MIIEpAIBAAKCAQEA+Cf4l9OagD6x67HhdCy4Asqw89Zz9ZuGbH50/7ltIMQpJJU0
       gu9ObNtIoC0zabJ7n1jujueYgIpOqGnhRSvsGJiEkgN81NLQ9rqAVaGpadjrNLcM
       bpgqJCZj0vzzmtFBCtenpb5l/EccMFcAydGtGeLP33SaWiZ4Rne56GBInk6SATI/
       JSKweGD1y5GiAWipBR4C74HiAW9q6hCOuSdp/2WQxWT3T1j2sjlqxkHdtInUtwOm
       j5Ism276IndeQ9hR3reFR8PJnKIPx73oTBQ7p9CMR1J4ucq9Ny0J12wQYT00fmJp
       -----END CERTIFICATE-----
       -----BEGIN PRIVATE KEY-----
       MIIEBTCCAu2gAwIBAgIUGfYFsj8HyA9Zv2l600hxzT8+gG4wDQYJKoZIhvcNAQEL
       BQAwgYkxCzAJBgNVBAYTAklOMQwwCgYDVQQIDANLQVIxDDAKBgNVBAcMA0JMUjEM
       MAoGA1UECgwDUkhUMQswCQYDVQQLDAJCVTEkMCIGA1UEAwwbY2VwaC1zc2wtcmhj
       czUtOGRjeHY2LW5vZGU1MR0wGwYJKoZIhvcNAQkBFg5hYmNAcmVkaGF0LmNvbTAe
       -----END PRIVATE KEY-----

3. Cephadm シェルを起動します。

   例

   [root@host01 ~]# cephadm shell --mount ingress.yaml:/var/lib/ceph/radosgw/ingress.yaml

4. 最新の haproxy イメージおよび keepalived イメージを設定します。

   構文

   ceph config set mgr mgr/cephadm/container_image_haproxy HAPROXY_IMAGE_ID
   ceph config set mgr mgr/cephadm/container_image_keepalived KEEPALIVED_IMAGE_ID

   Red Hat Enterprise Linux 8

   [ceph: root@host01 /]# ceph config set mgr mgr/cephadm/container_image_haproxy registry.redhat.io/rhceph/rhceph-haproxy-rhel8:latest
   [ceph: root@host01 /]# ceph config set mgr mgr/cephadm/container_image_keepalived registry.redhat.io/rhceph/keepalived-rhel8:latest

   Red Hat Enterprise Linux 9

   [ceph: root@host01 /]# ceph config set mgr mgr/cephadm/container_image_haproxy registry.redhat.io/rhceph/rhceph-haproxy-rhel9:latest
   [ceph: root@host01 /]# ceph config set mgr mgr/cephadm/container_image_keepalived registry.redhat.io/rhceph/keepalived-rhel9:latest

5. Ceph オーケストレーターを使用して新規 Ingress サービスをインストールおよび設定します。

   [ceph: root@host01 /]# ceph orch apply -i /var/lib/ceph/radosgw/ingress.yaml

6. Ceph オーケストレーターが完了したら、HA 設定を確認します。

   1. Ingress サービスを実行しているホストで、仮想 IP アドレスが表示されることを確認します。

      例

      [root@host01 ~]# ip addr show

   2. Ceph クライアントから Ceph Object Gateway にアクセスしてみてください。

      構文

      wget HOST_NAME

      例

      [root@client ~]# wget host01.example.com

      以下の例のような内容を含む index.html が返される場合、Ceph Object Gateway の HA 設定は正常に機能しています。

      例

      <?xml version="1.0" encoding="UTF-8"?>
      	<ListAllMyBucketsResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
      		<Owner>
      			<ID>anonymous</ID>
      			<DisplayName></DisplayName>
      		</Owner>
      		<Buckets>
      		</Buckets>
      	</ListAllMyBucketsResult>

手順

1. <ArchiveZone> ライフサイクルポリシールールを設定します。ライフサイクルポリシーの作成の詳細は、Red Hat Ceph Storage オブジェクトゲートウェイガイド の ライフサイクル管理ポリシーの作成 セクションを参照してください。

   例

   <?xml version="1.0" ?>
   <LifecycleConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
           <Rule>
                   <ID>delete-1-days-az</ID>
                   <Filter>
   		  <Prefix></Prefix>
   		  <ArchiveZone />   1
                   </Filter>
                   <Status>Enabled</Status>
                   <Expiration>
                           <Days>1</Days>
                   </Expiration>
           </Rule>
   </LifecycleConfiguration>

2. オプション: 特定のライフサイクルポリシーにアーカイブゾーンルールが含まれているかどうかを確認します。

   構文

   radosgw-admin lc get --bucket BUCKET_NAME

   例

   [ceph: root@host01 /]# radosgw-admin lc get --bucket test-bkt
   
   {
       "prefix_map": {
           "": {
               "status": true,
               "dm_expiration": true,
               "expiration": 0,
               "noncur_expiration": 2,
               "mp_expiration": 0,
               "transitions": {},
               "noncur_transitions": {}
           }
       },
       "rule_map": [
           {
               "id": "Rule 1",
               "rule": {
                   "id": "Rule 1",
                   "prefix": "",
                   "status": "Enabled",
                   "expiration": {
                       "days": "",
                       "date": ""
                   },
                   "noncur_expiration": {
                       "days": "2",
                       "date": ""
                   },
                   "mp_expiration": {
                       "days": "",
                       "date": ""
                   },
                   "filter": {
                       "prefix": "",
                       "obj_tags": {
                           "tagset": {}
                       },
                       "archivezone": ""   1
                   },
                   "transitions": {},
                   "noncur_transitions": {},
                   "dm_expiration": true
               }
           }
       ]
   }

   1 1

   アーカイブゾーンルール。これは、アーカイブゾーンルールを使用したライフサイクルポリシーの例です。

3. Ceph Object Gateway ユーザーが削除されると、そのユーザーが所有するアーカイブサイトのバケットにアクセスできなくなります。これらのバケットを別の Ceph Object Gateway ユーザーにリンクして、データにアクセスします。

   構文

    radosgw-admin bucket link --uid NEW_USER_ID --bucket BUCKET_NAME --yes-i-really-mean-it

   例

   [ceph: root@host01 /]# radosgw-admin bucket link --uid arcuser1 --bucket arc1-deleted-da473fbbaded232dc5d1e434675c1068 --yes-i-really-mean-it

手順

1. 指向性同期フローを作成または更新します。特定のバケットへの指向性同期フローを作成または更新するには、--bucket オプションを使用します。

   構文

   radosgw-admin sync group flow create --bucket=BUCKET_NAME --group-id=GROUP_ID --flow-id=FLOW_ID --flow-type=directional --source-zone=SOURCE_ZONE --dest-zone=DESTINATION_ZONE

2. 対称同期フローを作成または更新します。対称フロータイプに複数のゾーンを指定するには、--zones オプションにコンマ区切りのリストを使用します。

   構文

   radosgw-admin sync group flow create --bucket=BUCKET_NAME --group-id=GROUP_ID --flow-id=FLOW_ID --flow-type=symmetrical --zones=ZONE_NAME

手順

1. 指向性同期フローを削除します。特定のバケットの指向性同期フローを削除するには、--bucket オプションを使用します。

   構文

   radosgw-admin sync group flow remove --bucket=BUCKET_NAME --group-id=GROUP_ID --flow-id=FLOW_ID --flow-type=directional --source-zone=SOURCE_ZONE --dest-zone=DESTINATION_ZONE

2. 対称同期フローから特定のゾーンを削除します。対称フローから複数のゾーンを削除するには、--zones オプションにコンマ区切りのリストを使用します。

   構文

   radosgw-admin sync group flow remove --bucket=BUCKET_NAME --group-id=GROUP_ID --flow-id=FLOW_ID --flow-type=symmetrical --zones=ZONE_NAME

3. 対称同期フローを削除します。バケットから同期フローを削除するには、--bucket オプションを使用します。

   構文

   radosgw-admin sync group flow remove --bucket=BUCKET_NAME --group-id=GROUP_ID --flow-id=FLOW_ID --flow-type=symmetrical --zones=ZONE_NAME

手順

1. ステータスを allowed に設定して新しい同期グループを作成します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group create --group-id=group1 --status=allowed

   注記

   完全に設定されたゾーングループレプリケーションポリシーが作成されるまでは、レプリケーションが開始されないように --status を allowed に設定することを推奨します。

2. --flow-type を symmetrical として設定して、新しく作成したグループのフローポリシーを作成し、双方向レプリケーションを有効にします。

   例

   [ceph: root@host01 /]# radosgw-admin sync group flow create --group-id=group1 \
                           --flow-id=flow-mirror --flow-type=symmetrical \
                           --zones=us-east,us-west

3. pipe という名前の新しいパイプを作成します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group pipe create --group-id=group1 \
                             --pipe-id=pipe1 --source-zones='*' \
                             --source-bucket='*' --dest-zones='*' \
                             --dest-bucket='*'

   注記

   以前のフローポリシーで設定されたすべてのゾーンを含めるにはゾーンに * ワイルドカードを使用し、ゾーン内のすべての既存のバケットを複製するにはバケットに * を使用します。

4. バケット同期ポリシーを設定した後、--status を Enabled に設定します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group modify --group-id=group1 --status=enabled

5. 新しい期間を更新してコミットします。

   例

   [ceph: root@host01 /]# radosgw-admin period update --commit

   注記

   期間の更新とコミットは、ゾーングループポリシーでは必須です。

6. オプション: sync info --bucket=bucket_name コマンドを実行して、特定のバケットの同期元と同期先を確認します。us-east および us-west ゾーン内のすべてのバケットは双方向にレプリケートされます。

   例

   [ceph: root@host01 /]# radosgw-admin sync info --bucket=buck
   {
       "sources": [
           {
               "id": "pipe1",
               "source": {
                   "zone": "us-west",
                   "bucket": "buck:115b12b3-....4409.1"
               },
               "dest": {
                   "zone": "us-east",
                   "bucket": "buck:115b12b3-....4409.1"
               },
               "params": {
   ...
               }
           }
       ],
       "dests": [
           {
               "id": "pipe1",
               "source": {
                   "zone": "us-east",
                   "bucket": "buck:115b12b3-....4409.1"
               },
               "dest": {
                   "zone": "us-west",
                   "bucket": "buck:115b12b3-....4409.1"
               },
              ...
           }
       ],
       ...
   }

   上記の出力の id フィールドは、そのエントリーを生成したパイプルールを反映しています。以下の例に示すように、1 つのルールで複数の同期エントリーを生成できます。

7. オプション: sync info コマンドを実行して、ポリシーで定義されている、予期されるバケット同期ソースおよびターゲットに関する情報を取得します。

手順

1. ゾーングループポリシー --status をallowed に設定して、バケットごとのレプリケーションを許可します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group modify --group-id=group1 --status=allowed

2. ゾーングループポリシーを変更した後、期間を更新します。

   例

   [ceph: root@host01 /]# radosgw-admin period update --commit

3. 同期するバケットの同期グループを作成し、--status を Enabled に設定します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group create --bucket=buck \
                             --group-id=buck-default --status=enabled

4. 前の手順で作成したグループのパイプを作成します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group pipe create --bucket=buck \
                             --group-id=buck-default --pipe-id=pipe1 \
                             --source-zones='*' --dest-zones='*'

   注記

   ワイルドカード * を使用して、バケットレプリケーションのソースゾーンと宛先ゾーンを指定します。

5. オプション: 同期ポリシーで定義されている、想定されるバケット同期ソースおよびターゲットに関する情報を取得するには、--bucket フラグを指定して radosgw-admin Bucket sync info コマンドを実行します。

   例

   [ceph: root@host01 /]# radosgw-admin bucket sync info --bucket buck
   realm 33157555-f387-44fc-b4b4-3f9c0b32cd66 (india)
   zonegroup 594f1f63-de6f-4e1e-90b6-105114d7ad55 (shared)
   zone ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5 (primary)
   bucket :buck[ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5.16191.1]
   
   source zone e0e75beb-4e28-45ff-8d48-9710de06dcd0
   bucket :buck[ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5.16191.1]

6. オプション: 同期ポリシーで定義されている、想定される同期ソースおよびターゲットに関する情報を取得するには、--bucket フラグを指定して radosgw-admin sync info コマンドを実行します。

   例

   [ceph: root@host01 /]# radosgw-admin sync info --bucket buck
   {
       "id": "pipe1",
       "source": {
           "zone": "secondary",
           "bucket": "buck:ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5.16191.1"
       },
       "dest": {
           "zone": "primary",
           "bucket": "buck:ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5.16191.1"
       },
       "params": {
           "source": {
               "filter": {
                   "tags": []
               }
           },
           "dest": {},
           "priority": 0,
           "mode": "system",
           "user": ""
       }
   },
       {
       "id": "pipe1",
       "source": {
           "zone": "primary",
           "bucket": "buck:ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5.16191.1"
       },
       "dest": {
           "zone": "secondary",
           "bucket": "buck:ffaa5ba4-c1bd-4c17-b176-2fe34004b4c5.16191.1"
       },
       "params": {
           "source": {
               "filter": {
                   "tags": []
               }
           },
           "dest": {},
           "priority": 0,
           "mode": "system",
           "user": ""
       }
   }

手順

1. sync group modify コマンドを実行してステータスを allowed から forbidden に変更し、us-east ゾーンと us-west ゾーンの間のバケットのレプリケーションを中断します。

   例

   [ceph: root@host01 /]# radosgw-admin sync group modify --group-id  buck-default --status forbidden --bucket buck
   {
       "groups": [
           {
               "id": "buck-default",
               "data_flow": {},
               "pipes": [
                   {
                       "id": "pipe1",
                       "source": {
                           "bucket": "*",
                           "zones": [
                               "*"
                           ]
                       },
                       "dest": {
                           "bucket": "*",
                           "zones": [
                               "*"
                           ]
                       },
                       "params": {
                           "source": {
                               "filter": {
                                   "tags": []
                               }
                           },
                           "dest": {},
                           "priority": 0,
                           "mode": "system",
                       }
                   }
               ],
               "status": "forbidden"
           }
       ]
   }

   注記

   これはバケット同期ポリシーであるため、その期間の更新とコミットは必要ありません。

2. オプション: sync info command コマンドを実行して、バケット buck の同期のステータスを確認します。

   例

   [ceph: root@host01 /]# radosgw-admin sync info --bucket buck
   {
       "sources": [],
       "dests": [],
       "hints": {
           "sources": [],
           "dests": []
       },
       "resolved-hints-1": {
           "sources": [],
           "dests": []
       },
       "resolved-hints": {
           "sources": [],
           "dests": []
       }
   }
   
   Sync is disabled for bucket buck

   注記

   レプリケーションが中断されているため、ソースおよび宛先のターゲットはありません。

1. LDAP サーバーの SSL 証明書に署名した認証局 (CA) の PEM 形式の証明書を抽出/ダウンロードします。
2. /etc/openldap/ldap.conf に TLS_REQCERT が設定されていないことを確認します。
3. /etc/openldap/ldap.conf に TLS_CACERTDIR /etc/openldap/certs 設定が含まれていることを確認します。

4. certutil コマンドを使用して、AD CA を /etc/openldap/certs のストアに追加します。たとえば、CA が msad-frog-MSAD-FROG-CA で、PEM 形式の CA ファイルが ldap.pem の場合は、以下のコマンドを使用します。

   例

   # certutil -d /etc/openldap/certs -A -t "TC,," -n "msad-frog-MSAD-FROG-CA" -i /path/to/ldap.pem

5. すべてのリモート LDAP サイトで SELinux を更新します。

   例

   # setsebool -P httpd_can_network_connect on

   注記

   これは、SELinux が Permissive モードであっても、引き続き設定する必要があります。

6. certs データベースを誰でも読めるようにします。

   例

   # chmod 644 /etc/openldap/certs/*

7. root 以外のユーザーとして ldapwhoami コマンドを使用してサーバーに接続します。

   例

   $ ldapwhoami -H ldaps://rh-directory-server.example.com -d 9

   -d 9 オプションは、SSL ネゴシエーションで何らかの問題が発生した場合にデバッグ情報を提供します。

手順

1. Ceph Object Gateway の LDAP ユーザーを作成し、binddn を書き留めます。Ceph オブジェクトゲートウェイは ceph ユーザーを使用するため、ceph をユーザー名として使用することを検討してください。ユーザーに、ディレクトリーを検索するパーミッションが必要です。Ceph Object Gateway は、rgw_ldap_binddn で指定されたとおりにこのユーザーにバインドします。

2. ユーザーの作成が正常に機能することをテストします。ceph が People の下のユーザー ID で、example.com がドメインの場合は、ユーザーの検索を行うことができます。

   # ldapsearch -x -D "uid=ceph,ou=People,dc=example,dc=com" -W -H ldaps://example.com -b "ou=People,dc=example,dc=com" -s sub 'uid=ceph'

3. 各ゲートウェイノードで、ユーザーのシークレットのファイルを作成します。たとえば、シークレットは /etc/bindpass という名前のファイルに保存されます。セキュリティー上の理由から、このファイルの所有者を ceph ユーザーおよびグループに変更し、グローバルに読み取りができないようにします。

4. rgw_ldap_secret オプションを追加します。

   構文

   ceph config set client.rgw OPTION VALUE

   例

   [ceph: root@host01 /]# ceph config set client.rgw rgw_ldap_secret /etc/bindpass

5. バインドパスワードファイルを Ceph Object Gateway コンテナーにパッチし、Ceph Object Gateway 仕様を再適用します。

   例

   service_type: rgw
   service_id: rgw.1
   service_name: rgw.rgw.1
   placement:
     label: rgw
     extra_container_args:
     - -v
     - /etc/bindpass:/etc/bindpass

   注記

   /etc/bindpass は Red Hat Ceph Storage に自動的に同梱されないため、すべての Ceph Object Gateway インスタンスノードでコンテンツが利用可能であることを確認する必要があります。

1. 部分フィルターの指定

   例

   "objectclass=inetorgperson"

   Ceph Object Gateway は、トークンのユーザー名および rgw_ldap_dnattr の値を使用して検索フィルターを生成します。構築されたフィルターは、rgw_ldap_searchfilter の値の一部フィルターと組み合わされます。たとえば、ユーザー名と設定により、最終的な検索フィルターが生成されます。

   例

   "(&(uid=joe)(objectclass=inetorgperson))"

   ユーザー joe は、LDAP ディレクトリーで見つかった場合にのみアクセスが許可され、inetorgperson のオブジェクトクラスがあり、有効なパスワードを指定します。

2. Complete フィルターの指定

   完全なフィルターには、認証の試行中にユーザー名に置き換えられる USERNAME トークンが含まれている必要があります。この場合、rgw_ldap_dnattr 設定は使用されません。たとえば、有効なユーザーを特定のグループに制限するには、以下のフィルターを使用します。

   例

   "(&(uid=@USERNAME@)(memberOf=cn=ceph-users,ou=groups,dc=mycompany,dc=com))"

1. アクセスキーをエクスポートします。

   構文

   export RGW_ACCESS_KEY_ID="USERNAME"

2. シークレットキーをエクスポートします。

   構文

   export RGW_SECRET_ACCESS_KEY="PASSWORD"

3. トークンをエクスポートします。LDAP の場合は、トークンタイプ (ttype) に ldap を使用します。

   例

   radosgw-token --encode --ttype=ldap

   Active Directory の場合は、トークンタイプとして ad を使用します。

   例

   radosgw-token --encode --ttype=ad

   結果として、アクセストークンである base-64 でエンコードされた文字列になります。このアクセストークンを、アクセスキーの代わりに S3 クライアントに提供します。シークレットキーは不要になりました。

4. オプション:S3 クライアントが環境変数を使用している場合は、利便性を高めるために base-64 でエンコードされた文字列を環境変数 RGW_ACCESS_KEY_ID にエクスポートします。

   例

   export RGW_ACCESS_KEY_ID="ewogICAgIlJHV19UT0tFTiI6IHsKICAgICAgICAidmVyc2lvbiI6IDEsCiAgICAgICAgInR5cGUiOiAibGRhcCIsCiAgICAgICAgImlkIjogImNlcGgiLAogICAgICAgICJrZXkiOiAiODAwI0dvcmlsbGEiCiAgICB9Cn0K"

手順

1. RGW_ACCESS_KEY_ID 環境変数を使用して、Ceph Object Gateway クライアントを設定します。または、base-64 でエンコードされた文字列をコピーし、アクセスキーとして指定することもできます。以下は、設定された S3 クライアントの例です。

   例

   cat .aws/credentials
   
   [default]
   aws_access_key_id = ewogICaGbnjlwe9UT0tFTiI6IHsKICAgICAgICAidmVyc2lvbiI6IDEsCiAgICAgICAgInR5cGUiOiAiYWQiLAogICAgICAgICJpZCI6ICJjZXBoIiwKICAgICAgICAia2V5IjogInBhc3M0Q2VwaCIKICAgIH0KfQo=
   aws_secret_access_key =

   注記

   シークレットキーは不要になりました。

2. aws s3 ls コマンドを実行してユーザーを確認します。

   例

   [root@host01 ~]# aws s3 ls --endpoint http://host03
   
   2023-12-11 17:08:50 mybucket
   2023-12-24 14:55:44 mybucket2

3. オプション: radosgw-admin user コマンドを実行して、ディレクトリー内のユーザーを確認することもできます。

   例

   [root@host01 ~]# radosgw-admin user info --uid dir1
   {
       "user_id": "dir1",
       "display_name": "dir1",
       "email": "",
       "suspended": 0,
       "max_buckets": 1000,
       "subusers": [],
       "keys": [],
       "swift_keys": [],
       "caps": [],
       "op_mask": "read, write, delete",
       "default_placement": "",
       "default_storage_class": "",
       "placement_tags": [],
       "bucket_quota": {
           "enabled": false,
           "check_on_raw": false,
           "max_size": -1,
           "max_size_kb": 0,
           "max_objects": -1
       },
       "user_quota": {
           "enabled": false,
           "check_on_raw": false,
           "max_size": -1,
           "max_size_kb": 0,
           "max_objects": -1
       },
       "temp_url_keys": [],
       "type": "ldap",
       "mfa_ids": []
   }

手順

1. Ceph Object Gateway の LDAP ユーザーを作成し、binddn を書き留めます。Ceph オブジェクトゲートウェイは ceph ユーザーを使用するため、ceph をユーザー名として使用することを検討してください。ユーザーに、ディレクトリーを検索するパーミッションが必要です。Ceph Object Gateway は、rgw_ldap_binddn で指定されたとおりにこのユーザーにバインドします。

2. ユーザーの作成が正常に機能することをテストします。ceph が People の下のユーザー ID で、example.com がドメインの場合は、ユーザーの検索を行うことができます。

   # ldapsearch -x -D "uid=ceph,ou=People,dc=example,dc=com" -W -H ldaps://example.com -b "ou=People,dc=example,dc=com" -s sub 'uid=ceph'

3. 各ゲートウェイノードで、ユーザーのシークレットのファイルを作成します。たとえば、シークレットは /etc/bindpass という名前のファイルに保存されます。セキュリティー上の理由から、このファイルの所有者を ceph ユーザーおよびグループに変更し、グローバルに読み取りができないようにします。

4. rgw_ldap_secret オプションを追加します。

   構文

   ceph config set client.rgw OPTION VALUE

   例

   [ceph: root@host01 /]# ceph config set client.rgw rgw_ldap_secret /etc/bindpass

5. バインドパスワードファイルを Ceph Object Gateway コンテナーにパッチし、Ceph Object Gateway 仕様を再適用します。

   例

   service_type: rgw
   service_id: rgw.1
   service_name: rgw.rgw.1
   placement:
     label: rgw
     extra_container_args:
     - -v
     - /etc/bindpass:/etc/bindpass

   注記

   /etc/bindpass は Red Hat Ceph Storage に自動的に同梱されないため、すべての Ceph Object Gateway インスタンスノードでコンテンツが利用可能であることを確認する必要があります。

1. アクセスキーをエクスポートします。

   構文

   export RGW_ACCESS_KEY_ID="USERNAME"

2. シークレットキーをエクスポートします。

   構文

   export RGW_SECRET_ACCESS_KEY="PASSWORD"

3. トークンをエクスポートします。LDAP の場合は、トークンタイプ (ttype) に ldap を使用します。

   例

   radosgw-token --encode --ttype=ldap

   Active Directory の場合は、トークンタイプとして ad を使用します。

   例

   radosgw-token --encode --ttype=ad

   結果として、アクセストークンである base-64 でエンコードされた文字列になります。このアクセストークンを、アクセスキーの代わりに S3 クライアントに提供します。シークレットキーは不要になりました。

4. オプション:S3 クライアントが環境変数を使用している場合は、利便性を高めるために base-64 でエンコードされた文字列を環境変数 RGW_ACCESS_KEY_ID にエクスポートします。

   例

   export RGW_ACCESS_KEY_ID="ewogICAgIlJHV19UT0tFTiI6IHsKICAgICAgICAidmVyc2lvbiI6IDEsCiAgICAgICAgInR5cGUiOiAibGRhcCIsCiAgICAgICAgImlkIjogImNlcGgiLAogICAgICAgICJrZXkiOiAiODAwI0dvcmlsbGEiCiAgICB9Cn0K"

手順

1. RGW_ACCESS_KEY_ID 環境変数を使用して、Ceph Object Gateway クライアントを設定します。または、base-64 でエンコードされた文字列をコピーし、アクセスキーとして指定することもできます。以下は、設定された S3 クライアントの例です。

   例

   cat .aws/credentials
   
   [default]
   aws_access_key_id = ewogICaGbnjlwe9UT0tFTiI6IHsKICAgICAgICAidmVyc2lvbiI6IDEsCiAgICAgICAgInR5cGUiOiAiYWQiLAogICAgICAgICJpZCI6ICJjZXBoIiwKICAgICAgICAia2V5IjogInBhc3M0Q2VwaCIKICAgIH0KfQo=
   aws_secret_access_key =

   注記

   シークレットキーは不要になりました。

2. aws s3 ls コマンドを実行してユーザーを確認します。

   例

   [root@host01 ~]# aws s3 ls --endpoint http://host03
   
   2023-12-11 17:08:50 mybucket
   2023-12-24 14:55:44 mybucket2

3. オプション: radosgw-admin user コマンドを実行して、ディレクトリー内のユーザーを確認することもできます。

   例

   [root@host01 ~]# radosgw-admin user info --uid dir1
   {
       "user_id": "dir1",
       "display_name": "dir1",
       "email": "",
       "suspended": 0,
       "max_buckets": 1000,
       "subusers": [],
       "keys": [],
       "swift_keys": [],
       "caps": [],
       "op_mask": "read, write, delete",
       "default_placement": "",
       "default_storage_class": "",
       "placement_tags": [],
       "bucket_quota": {
           "enabled": false,
           "check_on_raw": false,
           "max_size": -1,
           "max_size_kb": 0,
           "max_objects": -1
       },
       "user_quota": {
           "enabled": false,
           "check_on_raw": false,
           "max_size": -1,
           "max_size_kb": 0,
           "max_objects": -1
       },
       "temp_url_keys": [],
       "type": "ldap",
       "mfa_ids": []
   }

手順

1. Swift サービスの下のエンドポイントをリスト表示します。

   [root@swift~]# openstack endpoint list --service=swift

2. 前のコマンドでリスト表示されたエンドポイントの設定を確認します。

   構文

   [root@swift~]# openstack endpoint show ENDPOINT_ID

   エンドポイントを表示すると、エンドポイントの設定とサービス設定が表示されます。

   表6.2 例

   フィールド	値
   adminurl	http://radosgw.example.com:8080/swift/v1
   enabled	True
   id	e4249d2b60e44743a67b5e5b38c18dd3
   internalurl	http://radosgw.example.com:8080/swift/v1
   publicurl	http://radosgw.example.com:8080/swift/v1
   region	us-west
   service_id	37c4c0e79571404cb4644201a4a6e5ee
   service_name	swift
   service_type	object-store

手順

1. OpenSSL 証明書を nss db 形式に変換します。

   例

   [root@osp ~]# mkdir /var/ceph/nss
   
   [root@osp ~]# openssl x509 -in /etc/keystone/ssl/certs/ca.pem -pubkey | \
       certutil -d /var/ceph/nss -A -n ca -t "TCu,Cu,Tuw"
   
   [root@osp ~]# openssl x509 -in /etc/keystone/ssl/certs/signing_cert.pem -pubkey | \
       certutil -A -d /var/ceph/nss -n signing_cert -t "P,P,P"

2. Ceph Object Gateway を実行しているノードに Keystone の SSL 証明書をインストールします。設定可能な rgw_keystone_verify_ssl の値を false に設定します。

   rgw_keystone_verify_ssl を false に設定すると、ゲートウェイは証明書の検証を試行しません。

手順

1. 各ゲートウェイインスタンスで以下を行います。

   1. nss_db_path 設定を、NSS データベースが保存されるパスに設定します。

      例

      [ceph: root@host01 /]# ceph config set client.rgw nss_db_path "/var/lib/ceph/radosgw/ceph-rgw.rgw01/nss"

2. 認証証明書を指定します。

   システム管理者が OpenStack サービスを設定する方法と同様に、OpenStack Identity API 用の Keystone サービステナント、ユーザー、およびパスワードを設定することができます。ユーザー名とパスワードを指定することで、共有の秘密を rgw_keystone_admin_token 設定に提供するのを防ぎます。

   重要

   Red Hat は、実稼働環境で管理トークンによる認証を無効にすることを推奨します。サービステナントの認証情報には、admin 権限が必要です。

   必要な設定オプションは以下のとおりです。

   構文

   ceph config set client.rgw rgw_keystone_verify_ssl TRUE/FALSE
   ceph config set client.rgw rgw_s3_auth_use_keystone TRUE/FALSE
   ceph config set client.rgw rgw_keystone_api_version API_VERSION
   ceph config set client.rgw rgw_keystone_url KEYSTONE_URL:ADMIN_PORT
   ceph config set client.rgw rgw_keystone_accepted_roles ACCEPTED_ROLES_
   ceph config set client.rgw rgw_keystone_accepted_admin_roles ACCEPTED_ADMIN_ROLES
   ceph config set client.rgw rgw_keystone_admin_domain default
   ceph config set client.rgw rgw_keystone_admin_project SERVICE_NAME
   ceph config set client.rgw rgw_keystone_admin_user KEYSTONE_TENANT_USER_NAME
   ceph config set client.rgw rgw_keystone_admin_password KEYSTONE_TENANT_USER_PASSWORD
   ceph config set client.rgw rgw_keystone_implicit_tenants KEYSTONE_IMPLICIT_TENANT_NAME
   ceph config set client.rgw rgw_swift_versioning_enabled TRUE/FALSE
   ceph config set client.rgw rgw_swift_enforce_content_length TRUE/FALSE
   ceph config set client.rgw rgw_swift_account_in_url TRUE/FALSE
   ceph config set client.rgw rgw_trust_forwarded_https TRUE/FALSE
   ceph config set client.rgw rgw_max_attr_name_len MAXIMUM_LENGTH_OF_METADATA_NAMES
   ceph config set client.rgw rgw_max_attrs_num_in_req MAXIMUM_NUMBER_OF_METADATA_ITEMS
   ceph config set client.rgw rgw_max_attr_size MAXIMUM_LENGTH_OF_METADATA_VALUE
   ceph config set client.rgw rgw_keystone_accepted_reader_roles SwiftSystemReader

   例

   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_verify_ssl false
   [ceph: root@host01 /]# ceph config set client.rgw rgw_s3_auth_use_keystone true
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_api_version 3
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_url http://<public Keystone endpoint>:5000/
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_accepted_roles 'member, Member, admin'
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_accepted_admin_roles 'ResellerAdmin, swiftoperator'
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_admin_domain default
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_admin_project service
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_admin_user swift
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_admin_password password
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_implicit_tenants true
   [ceph: root@host01 /]# ceph config set client.rgw rgw_swift_versioning_enabled  true
   [ceph: root@host01 /]# ceph config set client.rgw rgw_swift_enforce_content_length true
   [ceph: root@host01 /]# ceph config set client.rgw rgw_swift_account_in_url true
   [ceph: root@host01 /]# ceph config set client.rgw rgw_trust_forwarded_https true
   [ceph: root@host01 /]# ceph config set client.rgw rgw_max_attr_name_len 128
   [ceph: root@host01 /]# ceph config set client.rgw rgw_max_attrs_num_in_req 90
   [ceph: root@host01 /]# ceph config set client.rgw rgw_max_attr_size  1024
   [ceph: root@host01 /]# ceph config set client.rgw rgw_keystone_accepted_reader_roles SwiftSystemReader

   Ceph Object Gateway ユーザーは Keystone の tenant にマッピングされます。Keystone ユーザーには、複数のテナントで異なるロールが割り当てられている可能性があります。Ceph Object Gateway がチケットを取得する際には、テナントと、そのチケットに割り当てられたユーザーロールを確認し、設定可能な rgw_keystone_accepted_roles に従って要求を受け入れるか拒否します。