Red Hat Summit1.4. 다중 사이트 배포에서 cephadm 자체 서명된 인증서를 사용하도록 Ceph Object Gateway 업데이트
Red Hat Ceph Storage 8.1부터 Red Hat Ceph Storage는 새로운 루트 CA(인증 기관) 형식을 도입했습니다. 결과적으로 Red Hat Ceph Storage 버전 8.0 이하의 다중 사이트 배포에서 Ceph Object Gateway를 업데이트할 때 cephadm 자체 서명된 인증서를 활성화하려면 추가 단계를 완료해야 합니다.
다음 시나리오에서는 다음 절차를 사용하십시오.
- Red Hat Ceph Storage 버전 8.0 또는 이전 버전에서 업그레이드 중이며 cephadm 자체 서명된 인증서 사용을 계획하고 있습니다.
- cephadm 자체 서명된 인증서가 만료되었습니다.
cephadm 자체 서명된 인증서 또는 루트 CA commonName 에 cephadm- root-<FSID > 형식이 있고 인증서가 유효하지 않은 경우 이 절차가 필요하지 않습니다.
사전 요구 사항
시작하기 전에 Red Hat Ceph Storage 스토리지 시스템에서 이전 버전의 루트 CA를 사용하고 있는지 확인합니다.
ceph orch certmgr cert ls-
루트 CA
commonName에cephadm-root형식이 있는 경우 이전 스타일로 되어 있습니다. 여기에 문서화된 절차를 계속 진행하십시오. -
루트 CA
commonName에cephadm-root-<FSID> 형식이 있는 경우 클러스터가 이미 새 형식으로 업그레이드되어 추가 작업이 필요하지 않습니다.
프로세스
이전 루트 CA를 제거합니다.
구문
ceph orch certmgr rm cephadm_root_ca_certcertmgr을 다시 로드하여 새 루트 CA를 강제로 생성합니다.구문
ceph orch certmgr reloadcertmgr이 올바르게 로드되었는지 확인합니다.구문
ceph orch certmgr cert lscephadm_root_ca_cert주체의 형식이cephadm-root-<FSID>인지 확인합니다.루트 CA가 업그레이드되었습니다.
- cephadm 자체 서명 인증서를 사용하는 모든 서비스에 대해 새 인증서를 다시 발급합니다.
기존 Grafana 서비스를 새로 고칩니다.
모든 Grafana 인증서를 제거합니다.
이 단계는 자체 서명된 인증서를 사용하는 각 Grafana 서비스에 대해 수행해야 합니다.
구문
ceph orch certmgr cert rm grafana_cert --hostname=HOSTNAME모든 인증서가 제거되면 계속됩니다.
Grafana를 재배포합니다.
구문
ceph orch redeploy grafana모든 Grafana 서비스가 올바르게 실행되고 있는지 확인합니다.
구문
ceph orch ps --service-name grafanaGrafana에 대해 새 cephadm 서명 인증서가 생성되었는지 확인합니다.
구문
ceph orch certmgr cert ls
기존 Ceph Object Gateway(RGW) 서비스를 새로 고칩니다.
이 단계는 자체 서명된 인증서를 사용하는 각 Ceph Object Gateway 서비스에 대해 수행해야 합니다.
구문
ceph orch certmgr cert rm rgw_frontend_ssl_cert --service-name RGW-SERVICE-NAME ceph orch redeploy RGW-SERVICE-NAMECeph Object Gateway(RGW) 서비스가 배포되어 예상대로 실행되고 있는지 확인합니다.
구문
ceph orch ps --service-name RGW_SERVICE_NAME인증서를 확인합니다.
구문
ceph orch certmgr cert lsCeph 대시보드 인증서를 업그레이드합니다.
대시보드에 대한 cephadm 서명 인증서를 생성합니다.
cephadm CLI(명령줄 인터페이스)에서 다음 명령을 실행합니다.
구문
json="$(ceph orch certmgr generate-certificates dashboard)" printf '%s' "$json" | jq -r '.cert' > dashboard.crt printf '%s' "$json" | jq -r '.key' > dashboard.key새로 생성된 인증서 및 키를 설정합니다.
Ceph CLI(명령줄 인터페이스)에서 다음 명령을 실행합니다.
구문
ceph dashboard set-ssl-certificate -i dashboard.crt ceph dashboard set-ssl-certificate-key -i dashboard.keydashboard.crt및dashboard.key쌍 파일이 생성됩니다.
Ceph 대시보드를 활성화한 다음 비활성화하여 새 인증서를 로드합니다.
구문
ceph mgr module disable dashboard ceph mgr module enable dashboard
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}