Red Hat Summit1.4. マルチサイトデプロイメントで cephadm 自己署名証明書を使用するように Ceph Object Gateway を更新する
Red Hat Ceph Storage 8.1 以降、Red Hat Ceph Storage は新しいルート認証局 (CA) 形式を導入しました。その結果、Red Hat Ceph Storage バージョン 8.0 以前からマルチサイトデプロイメントで Ceph Object Gateway を更新する場合は、cephadm 自己署名証明書を有効にするための追加手順を実行する必要があります。
次のいずれかのシナリオでこの手順を使用します。
- Red Hat Ceph Storage バージョン 8.0 以前からアップグレードし、cephadm 自己署名証明書を使用する予定です。
- Cephadm 自己署名証明書の有効期限が切れています。
cephadm 自己署名証明書を使用する予定がない場合、またはルート CA commonName が cephadm-root-<FSID> 形式であり、証明書が有効な場合は、この手順は必要ありません。
前提条件
始める前に、Red Hat Ceph Storage ストレージシステムが以前の古いスタイルのルート CA を使用していることを確認してください。
ceph orch certmgr cert ls-
ルート CA
commonNameがcephadm-root形式である場合、それは以前のスタイルです。ここで説明されている手順を続行します。 -
ルート CA
commonNameの形式がcephadm-root-<FSID>である場合、クラスターはすでに新しい形式にアップグレードされているため、これ以上のアクションは必要ありません。
手順
以前のルート CA を削除します。
構文
ceph orch certmgr rm cephadm_root_ca_cert新しいルート CA を強制的に作成するには、
certmgrをリロードします。構文
ceph orch certmgr reloadcertmgrが正しくロードされていることを確認します。構文
ceph orch certmgr cert lscephadm_root_ca_certサブジェクトがcephadm-root-<FSID>の形式であることを確認します。ルート CA がアップグレードされました。
- cephadm 自己署名証明書を使用するすべてのサービスに対して新しい証明書を再発行します。
既存の Grafana サービスを更新します。
すべての Grafana 証明書を削除します。
この手順は、自己署名証明書を使用する Grafana サービスごとに実行する必要があります。
構文
ceph orch certmgr cert rm grafana_cert --hostname=HOSTNAMEすべての証明書が削除されたら続行してください。
Grafana を再デプロイします。
構文
ceph orch redeploy grafanaすべての Grafana サービスが正しく実行されていることを確認します。
構文
ceph orch ps --service-name grafanaGrafana 用に新しい cephadm 署名証明書が作成されたことを確認します。
構文
ceph orch certmgr cert ls
既存の Ceph Object Gateway (RGW) サービスを更新します。
この手順は、自己署名証明書を使用する Ceph Object Gateway サービスごとに実行する必要があります。
構文
ceph orch certmgr cert rm rgw_frontend_ssl_cert --service-name RGW-SERVICE-NAME ceph orch redeploy RGW-SERVICE-NAMECeph Object Gateway (RGW) サービスがデプロイされ、期待どおりに実行されていることを確認します。
構文
ceph orch ps --service-name RGW_SERVICE_NAME証明書を検証します。
構文
ceph orch certmgr cert lsCeph Dashboard 証明書をアップグレードします。
ダッシュボード用の cephadm 署名証明書を生成します。
cephadm コマンドラインインターフェイス (CLI) から、次のコマンドを実行します。
構文
json="$(ceph orch certmgr generate-certificates dashboard)" printf '%s' "$json" | jq -r '.cert' > dashboard.crt printf '%s' "$json" | jq -r '.key' > dashboard.key新しく生成された証明書とキーを設定します。
Ceph コマンドラインインターフェイス (CLI) から、次のコマンドを実行します。
構文
ceph dashboard set-ssl-certificate -i dashboard.crt ceph dashboard set-ssl-certificate-key -i dashboard.keydashboard.crtおよびdashboard.keyペアファイルが生成されます。
新しい証明書をロードするには、Ceph Dashboard を有効にしてから無効にします。
構文
ceph mgr module disable dashboard ceph mgr module enable dashboard
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}