3.17. 在现有集群中设置自定义 SSH 密钥
作为存储管理员,使用 Cephadm,您可以使用 SSH 密钥与远程主机安全地进行身份验证。SSH 密钥存储在 monitor 中,以连接到远程主机。
当引导集群时,会自动生成此 SSH 密钥,且不需要额外的配置。但是,您可以使用 ceph cephadm generate-key
命令生成新的 SSH 密钥。
先决条件
- Ansible 管理节点.
- 对 Ansible 管理节点的根级别访问权限.
-
cephadm-ansible
软件包安装在节点上。
流程
-
前往
cephadm-ansible
目录。 生成一个新的 SSH 密钥:
示例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm generate-key
检索 SSH 密钥的公共部分:
示例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm get-pub-key
删除当前存储的 SSH 密钥:
示例
[ceph-admin@admin cephadm-ansible]$ceph cephadm clear-key
重启 mgr 守护进程以重新载入配置:
示例
[ceph-admin@admin cephadm-ansible]$ ceph mgr fail
3.17.1. 配置不同的 SSH 用户
作为存储管理员,您可以配置一个非 root SSH 用户,该用户可登录具有足够特权的所有 Ceph 集群节点,以下载容器镜像、启动容器,并在不提示输入密码的情况下执行命令。
在配置非 root SSH 用户之前,需要将集群 SSH 密钥添加到用户的 authorized_keys
文件中,非 root 用户必须具有 免密码 sudo 访问权限。
先决条件
- 一个正在运行的 Red Hat Ceph Storage 集群。
- Ansible 管理节点.
- 对 Ansible 管理节点的根级别访问权限.
-
cephadm-ansible
软件包安装在节点上。 -
将集群 SSH 密钥添加到用户的
authorized_keys
。 - 为非 root 用户 启用免密码 sudo 访问权限。
流程
-
前往
cephadm-ansible
目录。 为 Cephadm 提供要执行所有 Cephadm 操作的用户名称:
语法
[ceph-admin@admin cephadm-ansible]$ ceph cephadm set-user <user>
示例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm set-user user
检索 SSH 公钥。
语法
ceph cephadm get-pub-key > ~/ceph.pub
示例
[ceph-admin@admin cephadm-ansible]$ ceph cephadm get-pub-key > ~/ceph.pub
将 SSH 密钥复制到所有主机。
语法
ssh-copy-id -f -i ~/ceph.pub USER@HOST
示例
[ceph-admin@admin cephadm-ansible]$ ssh-copy-id ceph-admin@host01