5.5.7. Keystone 인증을 사용하도록 Ceph Object Gateway 구성
OpenStack의 Keystone 인증을 사용하도록 Red Hat Ceph Storage를 구성합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph 소프트웨어 리포지토리에 액세스할 수 있습니다.
-
프로덕션 환경에 대한
관리자권한이 있어야 합니다.
절차
각 게이트웨이 인스턴스에 대해 다음을 수행합니다.
rgw_s3_auth_use_keystone옵션을true로 설정합니다.예제
[root@mon ~]# ceph config set client.rgw rgw_s3_auth_use_keystone true
nss_db_path설정을 NSS 데이터베이스가 저장된 경로로 설정합니다.예제
[root@mon ~]# ceph config set client.rgw nss_db_path "/var/lib/ceph/radosgw/ceph-rgw.rgw01/nss"
인증 자격 증명을 제공합니다.
시스템 관리자가 OpenStack 서비스를 구성하는 방식과 마찬가지로 OpenStack ID API의 Keystone 서비스 테넌트, 사용자 및 암호를 구성할 수 있습니다. 사용자 이름과 암호를 제공하면
rgw_keystone_admin_token설정에 공유 시크릿이 제공되지 않습니다.중요Red Hat은 프로덕션 환경에서 관리 토큰으로 인증을 비활성화하는 것이 좋습니다. 서비스 테넌트 자격 증명에는
admin권한이 있어야 합니다.필요한 구성 옵션은 다음과 같습니다.
구문
ceph config set client.rgw rgw_keystone_url KEYSTONE_URL:_ADMIN_PORT_ ceph config set client.rgw rgw_keystone_admin_user KEYSTONE_TENANT_USER_NAME ceph config set client.rgw rgw_keystone_admin_password KEYSTONE_TENANT_USER_PASSWORD ceph config set client.rgw rgw_keystone_admin_tenant KEYSTONE_TENANT_NAME ceph config set client.rgw rgw_keystone_accepted_roles KEYSTONE_ACCEPTED_USER_ROLES ceph config set client.rgw rgw_keystone_token_cache_size NUMBER_OF_TOKENS_TO_CACHE ceph config set client.rgw rgw_keystone_revocation_interval NUMBER_OF_SECONDS_BEFORE_CHECKING_REVOKED_TICKETS ceph config set client.rgw rgw_keystone_make_new_tenants TRUE_FOR_PRIVATE_TENANT_FOR_EACH_NEW_USER
Ceph Object Gateway 사용자는 Keystone
테넌트에매핑됩니다. Keystone 사용자는 단일 테넌트가 아닌 다른 역할을 할당합니다. Ceph Object Gateway에서 티켓을 받으면 테넌트와 해당 티켓에 할당된 사용자 역할을 확인하고 구성 가능한rgw_keystone_accepted_roles에 따라 요청을 수락하거나 거부합니다.
추가 리소스
- Red Hat OpenStack Platform 13용 사용자 및 ID 관리 가이드.
