2.12.5. 将 Ceph 对象网关配置为使用 Vault

流程

1. 打开 以编辑 Ceph 配置文件，默认为 /etc/ceph/ceph.conf，并启用 Vault 作为加密密钥存储：

   rgw_crypt_s3_kms_backend = vault

   Copy to Clipboard Toggle word wrap

2. 在 [client.radosgw.INSTANCE_NAME] 部分下，选择 Vault 身份验证方法，可以是 Token 或 Vault 代理。

   1. 如果使用 Token，请添加以下行：

      rgw_crypt_vault_auth = token
      rgw_crypt_vault_token_file = /etc/ceph/vault.token
      rgw_crypt_vault_addr = http://VAULT_SERVER:8200

      Copy to Clipboard Toggle word wrap

   2. 如果使用 Vault 代理，请添加以下行：

      rgw_crypt_vault_auth = agent
      rgw_crypt_vault_addr = http://VAULT_SERVER:8100

      Copy to Clipboard Toggle word wrap

3. 在 [client.radosgw.INSTANCE_NAME ]部分下，选择 Vault 机密引擎，可以是 Key/Value 或 Transit。

   1. 如果使用 Key/Value，请添加以下行：

      rgw_crypt_vault_secret_engine = kv

      Copy to Clipboard Toggle word wrap

   2. 如果使用 Transit，请添加以下行：

      rgw_crypt_vault_secret_engine = transit

      Copy to Clipboard Toggle word wrap

4. （可选）在 [client.radosgw.INSTANCE_NAME] 部分下，您可以设置将检索加密密钥的 Vault 命名空间：

   rgw_crypt_vault_namespace = NAME_OF_THE_NAMESPACE

   Copy to Clipboard Toggle word wrap

5. 通过设置路径前缀来限制 Ceph 对象网关从 Vault 中检索加密密钥的位置：

   示例

   rgw_crypt_vault_prefix = /v1/secret/data

   Copy to Clipboard Toggle word wrap

   1. 对于可导出的 Transit 键，请设置前缀路径，如下所示：

      rgw_crypt_vault_prefix = /v1/transit/export/encryption-key

      Copy to Clipboard Toggle word wrap

      假设 Vault 服务器的域名是 vault-server，Ceph 对象网关将从以下 URL 获取加密传输密钥：

      示例

      http://vault-server:8200/v1/transit/export/encryption-key

      Copy to Clipboard Toggle word wrap

6. 保存对 Ceph 配置文件的更改。