Red Hat Training

A Red Hat training course is available for Red Hat Ceph Storage

2.2. Civetweb の設定

Ceph Object Gateway が Keystone を使用するように設定するには、管理ノードで Ceph 設定ファイルを開き、[client.radosgw.{instance-name}] に移動します。ここで {instance-name} は設定するゲートウェイインスタンスの名前に置き換えます。ゲートウェイインスタンスごとに、rgw_s3_auth_use_keystone の設定を true に設定し、NSS データベースが保存されるパスに nss_db_path を設定します。

認証証明書を指定します。システム管理者が OpenStack サービスを設定する方法と同様に、OpenStack Identity API の v2.0 バージョン用の Keystone サービステナント、ユーザー、およびパスワードを設定することができます。ユーザー名とパスワードを指定することで、共有の秘密を rgw_keystone_admin_token 設定に提供するのを防ぎます。Red Hat は、実稼働環境で管理トークンによる認証を無効にすることを推奨します。

サービステナントの認証情報には、admin 権限が必要です。詳細は、『Red Hat OpenStack Platform 13 の Users and Identity Management Guide』を参照してください。必要な設定オプションは以下のとおりです。 

rgw_keystone_admin_user = {keystone service tenant user name}
rgw_keystone_admin_password = {keystone service tenant user password}
rgw_keystone_admin_tenant = {keystone service tenant name}

Ceph Object Gateway ユーザーは Keystone の tenant にマッピングされます。Keystone ユーザーには、複数のテナントで異なるロールが割り当てられている可能性があります。Ceph Object Gateway がチケットを取得する際には、テナントと、そのチケットに割り当てられたユーザーロールを確認し、設定可能な rgw_keystone_accepted_roles に従って要求を受け入れるか拒否します。

通常の設定には、以下の設定があります。 

[client.radosgw.gateway]
rgw_keystone_url = {keystone server url:keystone server admin port}
##Authentication using an admin token. Not preferred.
#rgw_keystone_admin_token = {keystone admin token}
##Authentication using username, password and tenant. Preferred.
rgw_keystone_admin_user = {keystone service tenant user name}
rgw_keystone_admin_password = {keystone service tenant user password}
rgw_keystone_admin_tenant = {keystone service tenant name}
rgw_keystone_accepted_roles = {accepted user roles}
##
rgw_keystone_token_cache_size = {number of tokens to cache}
rgw_keystone_revocation_interval = {number of seconds before checking revoked tickets}
rgw_keystone_make_new_tenants = {true for private tenant for each new user}
rgw_s3_auth_use_keystone = true
nss_db_path = {path to nss db}

変更を Ceph 設定ファイルに保存します。次に、更新した Ceph 設定ファイルを各 Ceph ノードにコピーします。以下に例を示します。 

# scp /etc/ceph/ceph.conf <node-name>:/etc/ceph/

利用可能な Keystone 統合設定オプションの詳細は、以下を参照してください。

rgw_s3_auth_use_keystone

詳細
true に設定すると、Ceph Object Gateway は Keystone を使用してユーザーを認証します。
ブール値
デフォルト
false

nss_db_path

詳細
NSS データベースへのパス。
文字列
デフォルト
""

rgw_keystone_url

詳細
Keystone サーバーの管理 RESTful API の URL。
文字列
デフォルト
""

rgw_keystone_admin_token

詳細
管理リクエストのために Keystone の内部に設定されるトークンまたは共有シークレット。
文字列
デフォルト
""

rgw_keystone_admin_user

詳細
keystone 管理ユーザー名
文字列
デフォルト
""

rgw_keystone_admin_password

詳細
keystone 管理ユーザーのパスワード。
文字列
デフォルト
""

rgw_keystone_admin_tenant

詳細
keystone v2.0 用の Keystone 管理ユーザーテナント。
文字列
デフォルト
""

rgw_keystone_admin_project

詳細
keystone v3 の Keystone 管理ユーザープロジェクト。
文字列
デフォルト
""

rgw_keystone_admin_domain

詳細
Keystone 管理ユーザードメイン。
文字列
デフォルト
""

rgw_keystone_api_version

詳細
使用する Keystone API のバージョン。有効なオプションは 2 または 3 です。
整数
デフォルト
2

rgw_keystone_accepted_roles

詳細
要求を提供するのに必要なロール。
文字列
デフォルト
"Member, admin"

rgw_keystone_accepted_admin_roles

詳細
ユーザーが管理者権限を取得できるようにするロールの一覧。
文字列
デフォルト
""

rgw_keystone_token_cache_size

詳細
Keystone トークンキャッシュのエントリーの最大数。
整数
デフォルト
10000

rgw_keystone_revocation_interval

詳細
トークン失効チェックの間隔 (秒単位)。
整数
デフォルト
15 * 60

rgw_keystone_verify_ssl

詳細
true の場合、Ceph は Keystone の SSL 証明書を確認します。
ブール値
デフォルト
true

rgw_keystone_implicit_tenants

詳細
同じ名前の独自のテナントに新しいユーザーを作成します。ほとんどの場合は、true または false に設定します。以前のバージョンの Red Hat Ceph Storage との互換性を確保するには、これを s3 または swift に設定することもできます。これにより、ID 領域を分割し、指定されたプロトコルのみが暗黙的なテナントを使用します。Red Hat Ceph Storage の古いバージョンの一部は、Swift を使用する暗黙的なテナントのみをサポートします。
文字列
デフォルト
false