搜索

2.12.5. 将 Ceph 对象网关配置为使用 Vault

download PDF

要将 Ceph 对象网关配置为使用 HashiCorp Vault,必须设置为加密密钥存储。目前,Ceph 对象网关支持两种不同的机密引擎,以及两种不同的身份验证方法。

先决条件

  • 一个正在运行的 Red Hat Ceph Storage 集群。
  • 安装 Ceph 对象网关软件.
  • Ceph 对象网关节点的根级别访问权限.

流程

  1. 打开 以编辑 Ceph 配置文件,默认为 /etc/ceph/ceph.conf,并启用 Vault 作为加密密钥存储:

    rgw_crypt_s3_kms_backend = vault
  2. [client.radosgw.INSTANCE_NAME] 部分下,选择 Vault 身份验证方法,可以是 Token 或 Vault 代理。

    1. 如果使用 Token,请添加以下行:

      rgw_crypt_vault_auth = token
      rgw_crypt_vault_token_file = /etc/ceph/vault.token
      rgw_crypt_vault_addr = http://VAULT_SERVER:8200
    2. 如果使用 Vault 代理,请添加以下行:

      rgw_crypt_vault_auth = agent
      rgw_crypt_vault_addr = http://VAULT_SERVER:8100
  3. [client.radosgw.INSTANCE_NAME ]部分下,选择 Vault 机密引擎,可以是 Key/Value 或 Transit。

    1. 如果使用 Key/Value,请添加以下行:

      rgw_crypt_vault_secret_engine = kv
    2. 如果使用 Transit,请添加以下行:

      rgw_crypt_vault_secret_engine = transit
  4. (可选)在 [client.radosgw.INSTANCE_NAME] 部分下,您可以设置将检索加密密钥的 Vault 命名空间:

    rgw_crypt_vault_namespace = NAME_OF_THE_NAMESPACE
  5. 通过设置路径前缀来限制 Ceph 对象网关从 Vault 中检索加密密钥的位置:

    示例

    rgw_crypt_vault_prefix = /v1/secret/data

    1. 对于可导出的 Transit 键,请设置前缀路径,如下所示:

      rgw_crypt_vault_prefix = /v1/transit/export/encryption-key

      假设 Vault 服务器的域名是 vault-server,Ceph 对象网关将从以下 URL 获取加密传输密钥:

      示例

      http://vault-server:8200/v1/transit/export/encryption-key

  6. 保存对 Ceph 配置文件的更改。

其它资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.