1.4. Ceph API 모듈 활성화 및 보안
Red Hat Ceph Storage Dashboard 모듈은 SSL 보안 연결을 통해 스토리지 클러스터에 대한 RESTful API 액세스를 제공합니다.
SSL을 비활성화하면 사용자 이름과 암호는 암호화되지 않은 상태로 Red Hat Ceph Storage 대시보드로 전송됩니다.
사전 요구 사항
- Ceph Monitor 노드에 대한 루트 수준 액세스.
-
하나 이상의
ceph-mgr데몬이 활성화되어 있는지 확인합니다. -
방화벽을 사용하는 경우, SSL에 대해 TCP 포트
8443, 및 SSL 없이 TCP 포트8080이 활성ceph-mgr데몬이 있는 노드에서 열려 있는지 확인합니다.
절차
Cephadm 쉘에 로그인합니다.
예제
root@host01 ~]# cephadm shell
RESTful 플러그인을 활성화합니다.
[ceph: root@host01 /]# ceph mgr module enable dashboard
SSL 인증서를 구성합니다.
조직의 CA(인증 기관)에서 인증서를 제공하는 경우 인증서 파일을 사용하여 설정합니다.
구문
ceph dashboard set-ssl-certificate HOST_NAME -i CERT_FILE ceph dashboard set-ssl-certificate-key HOST_NAME -i KEY_FILE
예제
[ceph: root@host01 /]# ceph dashboard set-ssl-certificate -i dashboard.crt [ceph: root@host01 /]# ceph dashboard set-ssl-certificate-key -i dashboard.key
고유한 노드 기반 인증서를 설정하려면 명령에 HOST_NAME 을 추가합니다.
예제
[ceph: root@host01 /]# ceph dashboard set-ssl-certificate host01 -i dashboard.crt [ceph: root@host01 /]# ceph dashboard set-ssl-certificate-key host01 -i dashboard.key
또는 자체 서명된 인증서를 생성할 수 있습니다. 그러나 자체 서명된 인증서를 사용하면 HTTPS 프로토콜의 완전한 보안 이점을 제공하지 않습니다.
[ceph: root@host01 /]# ceph dashboard create-self-signed-cert
주의대부분의 최신 웹 브라우저에서는 보안 연결을 설정하기 전에 확인해야 하는 자체 서명된 인증서에 대해 보고합니다.
사용자를 생성하고 암호를 설정한 다음 역할을 설정합니다.
구문
echo -n "PASSWORD" > PATH_TO_FILE/PASSWORD_FILE ceph dashboard ac-user-create USER_NAME -i PASSWORD_FILE ROLE
예제
[ceph: root@host01 /]# echo -n "p@ssw0rd" > /root/dash-password.txt [ceph: root@host01 /]# ceph dashboard ac-user-create user1 -i /root/dash-password.txt administrator
이 예제에서는
관리자역할을 사용하여user1이라는 사용자를 생성합니다.RESTful 플러그인 웹 페이지에 연결합니다. 웹 브라우저를 열고 다음 URL을 입력합니다.
구문
https://HOST_NAME:8443예제
https://host01:8443
자체 서명된 인증서를 사용한 경우 보안 예외를 확인합니다.
추가 리소스
-
ceph dashboard --help명령 -
https://HOST_NAME:8443/doc페이지는 HOST_NAME 은ceph-mgr인스턴스가 실행 중인 노드의 IP 주소 또는 이름입니다. - Red Hat Enterprise Linux 8 Security Hardening 가이드.
