3.17. 既存のクラスターでのカスタム SSH 鍵の設定
ストレージ管理者は、Cephadm を使用して、SSH キーを使用してリモートホストで安全に認証できます。SSH キーは、リモートホストに接続するためにモニターに保存されます。
クラスターがブートストラップされると、この SSH 鍵は自動的に生成され、追加の設定は必要ありません。ただし、ceph cephadm generate-key
コマンドを使用して新しい SSH 鍵を生成できます。
前提条件
- Ansible 管理ノード。
- Ansible 管理ノードへの root レベルのアクセス。
-
cephadm-ansible
パッケージがノードにインストールされている。
手順
-
cephadm-ansible
ディレクトリーに移動します。 新しい SSH キーを生成します。
例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm generate-key
SSH キーの公開部分を取得します。
例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm get-pub-key
現在保存されている SSH キーを削除します。
例
[ceph-admin@admin cephadm-ansible]$ceph cephadm clear-key
mgr デーモンを再起動して、設定を再読み込みします。
例
[ceph-admin@admin cephadm-ansible]$ ceph mgr fail
3.17.1. 別の SSH ユーザーの設定
ストレージ管理者は、パスワードの入力を求められずにコンテナーイメージのダウンロード、コンテナーの起動、コマンドの実行を行うための十分な権限を持つすべての Ceph クラスターノードにログインできる非 root SSH ユーザーを設定できます。
非 root SSH ユーザーを設定する前に、クラスター SSH キーをユーザーの authorized_keys
ファイルに追加する必要があり、非 root ユーザーは パスワードなし の sudo アクセスを持っている必要があります。
前提条件
- 稼働中の Red Hat Ceph Storage クラスターがある。
- Ansible 管理ノード。
- Ansible 管理ノードへの root レベルのアクセス。
-
cephadm-ansible
パッケージがノードにインストールされている。 -
クラスター SSH キーをユーザーの
authorized_keys
に追加します。 - 非 root ユーザーに対して passwordless sudo アクセスを有効にします。
手順
-
cephadm-ansible
ディレクトリーに移動します。 すべての Cephadm 操作を実行するユーザーの名前を Cephadm に指定します。
構文
[ceph-admin@admin cephadm-ansible]$ ceph cephadm set-user <user>
例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm set-user user
SSH 公開キーを取得します。
構文
ceph cephadm get-pub-key > ~/ceph.pub
例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm get-pub-key > ~/ceph.pub
SSH キーをすべてのホストにコピーします。
構文
ssh-copy-id -f -i ~/ceph.pub USER@HOST
例
[ceph-admin@admin cephadm-ansible]$ ssh-copy-id ceph-admin@host01