6.5.7. Vault를 사용하도록 Ceph Object Gateway 구성

절차

1. ceph config set client.rgw OPTION VALUE 명령을 사용하여 암호화 키 저장소로 Vault를 활성화합니다.

   구문

   ceph config set client.rgw rgw_crypt_s3_kms_backend vault

   Copy to Clipboard Toggle word wrap

2. 다음 옵션과 값을 추가합니다.

   구문

   ceph config set client.rgw rgw_crypt_vault_auth agent
   ceph config set client.rgw rgw_crypt_vault_addr http://VAULT_SERVER:8100

   Copy to Clipboard Toggle word wrap

3. 사용 사례에 따라 정책을 사용자 지정합니다.

4. role-id를 가져옵니다.

   예제

   [root@rgw ~]# vault read auth/approle/role/rgw-ap/role-id -format=json | \ jq -r .data.role_id > _PATH_TO_FILE_

   Copy to Clipboard Toggle word wrap

5. secret-id를 가져옵니다.

   예제

   [root@rgw ~]# vault read auth/approle/role/rgw-ap/role-id -format=json | \ jq -r .data.secret_id > _PATH_TO_FILE_

   Copy to Clipboard Toggle word wrap

6. Vault 에이전트에 대한 구성을 생성합니다.

   예제

   pid_file = "/run/kv-vault-agent-pid"
   auto_auth {
     method "AppRole" {
       mount_path = "auth/approle"
       config = {
         role_id_file_path ="/root/vault_configs/kv-agent-role-id"
         secret_id_file_path ="/root/vault_configs/kv-agent-secret-id"
         remove_secret_id_file_after_reading ="false"
       }
     }
   }
   cache {
     use_auto_auth_token = true
   }
   listener "tcp" {
     address = "127.0.0.1:8100"
     tls_disable = true
   }
   vault {
     address = "http://10.8.128.9:8200"
   }

   Copy to Clipboard Toggle word wrap

7. systemctl을 사용하여 영구 데몬을 실행합니다.

   예제

   [root@rgw ~]# /usr/local/bin/vault agent -config=/usr/local/etc/vault/rgw-agent.hcl

   Copy to Clipboard Toggle word wrap

8. Vault 에이전트가 실행될 때 토큰 파일은 유효한 토큰으로 채워집니다.

9. Vault 비밀 엔진(키/값 또는 Transit)을 선택합니다.

   1. Key/Value 를 사용하는 경우 다음 행을 추가합니다.

      예제

      [root@rgw ~]# ceph config set client.rgw rgw_crypt_vault_secret_engine kv

      Copy to Clipboard Toggle word wrap

   2. Transit 을 사용하는 경우 다음 행을 추가합니다.

      예제

      [root@rgw ~]# ceph config set client.rgw rgw_crypt_vault_secret_engine transit

      Copy to Clipboard Toggle word wrap

10. ceph config set client.rgw OPTION VALUE 명령을 사용하여 Vault 네임스페이스를 설정하여 암호화 키를 검색합니다.

    예제

    [root@rgw ~]# ceph config set client.rgw rgw_crypt_vault_namespace testnamespace1

    Copy to Clipboard Toggle word wrap

11. 경로 접두사를 설정하여 Ceph Object Gateway에서 Vault에서 암호화 키를 검색하는 위치를 제한합니다.

    예제

    [root@rgw ~]# ceph config set client.rgw rgw_crypt_vault_prefix /v1/secret/data

    Copy to Clipboard Toggle word wrap

    1. 내보낼 수 있는 전송 키의 경우 다음과 같이 접두사 경로를 설정합니다.

       예제

       [root@rgw ~]# ceph config set client.rgw rgw_crypt_vault_prefix /v1/transit/export/encryption-key

       Copy to Clipboard Toggle word wrap

       Vault 서버의 도메인 이름이 vault-server 라고 가정하면 Ceph Object Gateway는 다음 URL에서 암호화된 전송 키를 가져옵니다.

       예제

       http://vault-server:8200/v1/transit/export/encryption-key

       Copy to Clipboard Toggle word wrap

12. Ceph Object Gateway 데몬을 다시 시작합니다.

    1. 스토리지 클러스터의 개별 노드에서 Ceph Object Gateway를 다시 시작하려면 다음을 수행합니다.

       구문

       systemctl restart ceph-CLUSTER_ID@SERVICE_TYPE.ID.service

       Copy to Clipboard Toggle word wrap

       예제

       [root@rgw]# systemctl restart ceph-c4b34c6f-8365-11ba-dc31-529020a7702d@rgw.realm.zone.node1.gwasto.service

       Copy to Clipboard Toggle word wrap

    2. 스토리지 클러스터의 모든 노드에서 Ceph Object Gateway를 다시 시작하려면 다음을 수행합니다.

       구문

       ceph orch restart SERVICE_TYPE

       Copy to Clipboard Toggle word wrap

       예제

       [root@rgw]# ceph orch restart rgw

       Copy to Clipboard Toggle word wrap