ceph和keystone的配置教程

本篇內(nèi)容介紹了“ceph和keystone的配置教程”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

一、      背景介紹

      Ceph對象存儲模塊rgw與keystone可以對接。從而實現(xiàn)所有的對象存儲帳號信息可以由keystone管理，keystone負(fù)責(zé)保存和認(rèn)證swift和s3的賬戶及密碼。這些賬號信息不必在rgw中手動創(chuàng)建。在cliend端連接s3及swift時，rgw會向keystone發(fā)送認(rèn)證請求，是否通過認(rèn)證由keystone決定。

二、      配置文檔

1.ceph配置

Rgw支持keystone v2及keystone v3認(rèn)證。針對我的keystone v2生產(chǎn)環(huán)境，rgw 所需配置如下：

#開啟s3 keystone認(rèn)證

rgw_s3_auth_use_keystone = true

#keystone服務(wù)認(rèn)證endpoint地址。s3作為內(nèi)部服務(wù)，社區(qū)建議使用35357內(nèi)部端口。

rgw_keystone_url = http://192.168.242.128:35357

#生產(chǎn)環(huán)境建議關(guān)閉admin_token認(rèn)證。采用下列user,password,tenant組合替代

#rgw_keystone_admin_token = 1

#keystone中admin的信息

#如果采用admin_user的方式登錄，需要配置nss_db_path地址

nss_db_path = /var/ceph/nss

rgw_keystone_admin_user = admin

rgw_keystone_admin_password = 1

rgw_keystone_admin_tenant=admin

#keystone v2認(rèn)證

rgw_keystone_api_version = 2

#目前生產(chǎn)環(huán)境keystone沒有開啟ssl認(rèn)證，所以關(guān)閉此認(rèn)證。

rgw_keystone_verify_ssl=false

#rgw接受keystone中的角色名稱。

rgw_keystone_accepted_roles = _member_, Member, admin

2.keystone配置

修改/etc/keystone/keystone-paste.ini如下字段，為如下紅色字體

[filter:revoke_extension]

paste.filter_factory = keystone.contrib.s3:S3Extension.factory

[pipeline:public_api]

# The last item in this pipeline must be public_service or an equivalent

# application. It cannot be a filter.

pipeline = sizelimit url_normalize request_id build_auth_context token_auth admin_token_auth json_body ec2_extension s3_extension user_crud_extension public_service

[pipeline:admin_api]

# The last item in this pipeline must be admin_service or an equivalent

# application. It cannot be a filter.

pipeline = sizelimit url_normalize request_id build_auth_context token_auth admin_token_auth json_body ec2_extension s3_extension crud_extension admin_service

3.生成PKI(admin_token方式不需要)

keystone-manage pki_setup

4.重啟keystone服務(wù)

5.創(chuàng)建swift服務(wù)

keystone service-create --name swift --type object-store
keystone endpoint-create --service-id <id> --publicurl http://radosgw.example.com/swift/v1 \
        --internalurl http://radosgw.example.com/swift/v1 --adminurl http://radosgw.example.com/swift/v1

6.簽名pki(必須切換到root用戶，sudo的方式報錯)

mkdir /var/ceph/nss

openssl x509 -in /etc/keystone/ssl/certs/ca.pem -pubkey | \
        certutil -d /var/ceph/nss -A -n ca -t "TCu,Cu,Tuw"
openssl x509 -in /etc/keystone/ssl/certs/signing_cert.pem -pubkey | \
        certutil -A -d /var/ceph/nss -n signing_cert -t "P,P,P"

7.把生成的/var/ceph/nss/下的文件拷貝到rgw主機下的(nss_db_path )這個目錄并修改為ceph:ceph用戶/組。

8.啟動rgw服務(wù)

通過openstack ec2系列命令可以創(chuàng)建下列AWS方式的訪問賬戶。Access Key和Secret Key用來訪問S3。

     Rgw 的賬戶對應(yīng)于Keystone的租戶。Keystone中的user對應(yīng)Gateway中的subuser。在S3中，沒有subuser的概念，因此ec2命令生成的多個access、secret key如果所屬于一個Project ID，則訪問的是相同的bucket資源。。同時需要注意的是，如果私有云使用s3作為backup或者輕量級io負(fù)載，keystone認(rèn)證是沒問題的。如果io請求負(fù)載過大，會使keystone的驗證成為瓶頸，并且導(dǎo)致s3的請求超時。

“ceph和keystone的配置教程”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！