4.4. Ceph secret 密钥站点分发

流程

1. 为位置 az0 创建 secret。

   1. 如果您在所有需要存储的边缘站点部署了 Red Hat Ceph Storage (RHCS)，请为 az0 创建一个 secret，其中包含所有密钥环和 conf 文件：

      oc create secret generic ceph-conf-az-0 \
      --from-file=az0.client.openstack.keyring \
      --from-file=az0.conf \
      --from-file=az1.client.openstack.keyring \
      --from-file=az1.conf \
      --from-file=az2.client.openstack.keyring \
      --from-file=az2.conf -n openstack

   2. 如果您还没有在所有边缘站点上部署 RHCS，请为 az0 创建一个 secret，其中包含 az0 的密钥环和 conf 文件：

      oc create secret generic ceph-conf-az-0 \
      --from-file=az0.client.openstack.keyring \
      --from-file=az0.conf -n openstack

2. 当您在可用区 1 (z1)的边缘位置部署 RHCS 时，为位置 az1 创建一个 secret，其中包含本地后端的密钥环和 conf 文件，以及默认后端：

   oc create secret generic ceph-conf-az-1 \
   --from-file=az0.client.openstack.keyring \
   --from-file=az0.conf \
   --from-file=az1.client.openstack.keyring \
   --from-file=az1.conf -n openstack

3. 如果需要，为中央位置更新 secret：

   oc delete secret ceph-conf-az-0 -n openstack
   
   oc create secret generic ceph-conf-az-0 \
   --from-file=az0.client.openstack.keyring \
   --from-file=az0.conf \
   --from-file=az1.client.openstack.keyring \
   --from-file=az1.conf -n openstack

4. 当您在可用区 2 (z2)的边缘位置部署 RHCS 时，为位置 az2 创建一个 secret，其中包含本地后端的密钥环和 conf 文件，以及默认后端：

   oc create secret generic ceph-conf-az-2 \
   --from-file=az0.client.openstack.keyring \
   --from-file=az0.conf \
   --from-file=az2.client.openstack.keyring \
   --from-file=az2.conf -n openstack

5. 如果需要，为中央位置更新 secret：

   oc delete secret ceph-conf-az-0 -n openstack
   
   oc create secret generic ceph-conf-az-0 \
   --from-file=az0.client.openstack.keyring \
   --from-file=az0.conf \
   --from-file=az1.client.openstack.keyring \
   --from-file=az1.conf \
   --from-file=az1.client.openstack.keyring \
   --from-file=az1.conf \
   --from-file=az2.client.openstack.keyring \
   --from-file=az2.conf

6. [可选] 完成创建所需密钥后，您可以验证它们是否出现在 openstack 命名空间中：

   oc get secret -n openstack -o name | grep ceph-conf

   输出示例：

   secret/ceph-conf-az-0
   secret/ceph-conf-az-1
   secret/ceph-conf-az-2

7. 创建 OpenStackDataPlaneNodeSet 时，请使用 extraMounts 字段下的适当的键：

   apiVersion: dataplane.openstack.org/v1beta1
   kind: OpenStackDataPlaneNodeSet
   metadata:
     name: openstack-edpm-dcn-0
     namespace: openstack
   spec:
     ...
     nodeTemplate:
       extraMounts:
       - extraVolType: Ceph
         volumes:
         - name: ceph
           secret:
             secretName: ceph-conf-az-0
         mounts:
         - name: ceph
           mountPath: "/etc/ceph"
           readOnly: true

8. 在创建 data plane NodeSet 时，还必须使用 secret 名称更新 OpenStackControlPlane 自定义资源(CR)：

   apiVersion: core.openstack.org/v1beta1
   kind: OpenStackControlPlane
   spec:
     extraMounts:
       - name: v1
         region: r1
         extraVol:
           - propagation:
             - az0
             - CinderBackup
             extraVolType: Ceph
             volumes:
             - name: ceph
               secret:
                 name: ceph-conf-az-0
             mounts:
             - name: ceph
               mountPath: "/etc/ceph"
               readOnly: true
           - propagation:
             - az1
             extraVolType: Ceph
             volumes:
             - name: ceph
               secret:
                 name: ceph-conf-az-1
             mounts:
             - name: ceph
               mountPath: "/etc/ceph"
               readOnly: true
           ...

   注意

   如果 CinderBackup 服务是部署的一部分，则必须将其包含在传播列表中，因为它在其 pod 名称中没有可用区。

9. 当您更新 OpenStackControlPlane CR 中的 glanceAPIs 字段时，Image 服务(glance) pod 名称与 extraMounts 传播 实例匹配：

        glanceAPIs:
          az0:
            customServiceConfig: |
            ...
          az1:
            customServiceConfig: |
            ...

10. 当您更新 OpenStackControlPlane CR 中的 cinderVolumes 字段时，块存储服务(cinder) pod 名称也必须与 extraMounts 传播 实例匹配：

    kind: OpenStackControlPlane
    spec:
      <...>
      cinder
        <...>
        cinderVolumes:
          az0:
            <...>
          az1:
            <...>