2.5. 配置 Ceph 客户端身份验证

流程

1. 从 Ceph 监控节点，为 Cinder、Cinder Backup 和 Glance 创建新用户：

   [root@mon ~]# ceph auth get-or-create client.cinder mon 'allow r' osd 'allow class-read object_prefix rbd_children, allow rwx pool=volumes, allow rwx pool=vms, allow rx pool=images'
   
   [root@mon ~]# ceph auth get-or-create client.cinder-backup mon 'allow r' osd 'allow class-read object_prefix rbd_children, allow rwx pool=backups'
   
   [root@mon ~]# ceph auth get-or-create client.glance mon 'allow r' osd 'allow class-read object_prefix rbd_children, allow rwx pool=images'

   Copy to Clipboard Toggle word wrap

2. 为 client.cinder、client.cinder -backup 和 client. glance 添加密钥环到适当的节点，并更改其所有权：

   [root@mon ~]# ceph auth get-or-create client.cinder | ssh CINDER_VOLUME_NODE sudo tee /etc/ceph/ceph.client.cinder.keyring
   [root@mon ~]# ssh CINDER_VOLUME_NODE chown cinder:cinder /etc/ceph/ceph.client.cinder.keyring
   
   [root@mon ~]# ceph auth get-or-create client.cinder-backup | ssh CINDER_BACKUP_NODE tee /etc/ceph/ceph.client.cinder-backup.keyring
   [root@mon ~]# ssh CINDER_BACKUP_NODE chown cinder:cinder /etc/ceph/ceph.client.cinder-backup.keyring
   
   [root@mon ~]# ceph auth get-or-create client.glance | ssh GLANCE_API_NODE sudo tee /etc/ceph/ceph.client.glance.keyring
   [root@mon ~]# ssh GLANCE_API_NODE chown glance:glance /etc/ceph/ceph.client.glance.keyring

   Copy to Clipboard Toggle word wrap

3. OpenStack Nova 节点需要 nova-compute 进程的 keyring 文件：

   [root@mon ~]# ceph auth get-or-create client.cinder | ssh NOVA_NODE tee /etc/ceph/ceph.client.cinder.keyring

   Copy to Clipboard Toggle word wrap

4. OpenStack Nova 节点还需要将 client.cinder 用户的机密密钥存储在 libvirt 中。libvirt 进程需要 secret 密钥来访问集群，同时从 Cinder 附加块设备。在 OpenStack Nova 节点上创建 secret 密钥的临时副本：

   [root@mon ~]# ceph auth get-key client.cinder | ssh NOVA_NODE tee client.cinder.key

   Copy to Clipboard Toggle word wrap

   如果存储集群包含使用 exclusive-lock 功能的 Ceph 块设备镜像，请确保所有 Ceph 块设备用户都有将客户端列入黑名单的权限：

   [root@mon ~]# ceph auth caps client.ID mon 'allow r, allow command "osd blacklist"' osd 'EXISTING_OSD_USER_CAPS'

   Copy to Clipboard Toggle word wrap

5. 返回到 OpenStack Nova 节点：

   [root@mon ~]# ssh NOVA_NODE

   Copy to Clipboard Toggle word wrap

6. 为 secret 生成 UUID，并保存 secret 的 UUID，以便稍后配置 nova-compute ：

   [root@nova ~]# uuidgen > uuid-secret.txt

   Copy to Clipboard Toggle word wrap
   注意

   您不一定需要所有 Nova 计算节点上的 UUID。但是，从平台一致性角度来看，最好保持相同的 UUID。

7. 在 OpenStack Nova 节点上，将 secret 密钥添加到 libvirt 中并删除密钥的临时副本：

   cat > secret.xml <<EOF
   <secret ephemeral='no' private='no'>
     <uuid>`cat uuid-secret.txt`</uuid>
     <usage type='ceph'>
       <name>client.cinder secret</name>
     </usage>
   </secret>
   EOF

   Copy to Clipboard Toggle word wrap

8. 为 libvirt 设置并定义 secret：

   [root@nova ~]# virsh secret-define --file secret.xml
   [root@nova ~]# virsh secret-set-value --secret $(cat uuid-secret.txt) --base64 $(cat client.cinder.key) && rm client.cinder.key secret.xml

   Copy to Clipboard Toggle word wrap