3.3. 配置 Ceph 对象网关以使用 Keystone 身份验证
配置红帽 Ceph 存储,以使用 OpenStack 的 Keystone 身份验证。
先决条件
- 一个正在运行的 Red Hat Ceph Storage 集群。
- 访问 Ceph 软件存储库。
-
生产环境的管理
特权
。
流程
- 编辑管理节点上的 Ceph 配置文件。
-
导航到
[client.radosgw.INSTANCE_NAME],
其中 INSTANCE_NAME 是要配置的网关实例的名称。 为每个网关实例执行以下操作:
-
将
rgw_s3_auth_use_keystone
设置设置为true
。 -
将
thenss_db_path
设置设置为 NSS 数据库存储的路径。
-
将
提供身份验证凭证:
可以配置 Keystone 服务租户、适用于 OpenStack 身份 API 的 v2.0 版本的 Keystone 用户和密码,这与系统管理员倾向于配置 OpenStack 服务的方式类似。提供用户名和密码可避免向
rgw_keystone_admin_token
设置提供共享 secret。重要红帽建议在生产环境中通过 admin 令牌禁用身份验证。服务租户凭据应当具有
admin
特权。所需的配置选项有:
rgw_keystone_admin_user = KEYSTONE_TENANT_USER_NAME rgw_keystone_admin_password = KEYSTONE_TENANT_USER_PASSWORD rgw_keystone_admin_tenant = KEYSTONE_TENANT_NAME
Ceph 对象网关用户映射到 Keystone
租户
。Keystone 用户在 上分配有不同的角色,可能有多个租户。当 Ceph 对象网关获取票据时,它将查看租户,以及分配给该票据的用户角色,并且根据可配置的rgw_keystone_accepted_roles
接受或拒绝请求。典型的配置可能具有以下设置:
示例
[client.radosgw.gateway] rgw_keystone_url = {keystone server url:keystone server admin port} ##Authentication using an admin token. Not preferred. #rgw_keystone_admin_token = {keystone admin token} ##Authentication using username, password and tenant. Preferred. rgw_keystone_admin_user = _KEYSTONE_TENANT_USER_NAME_ rgw_keystone_admin_password = _KEYSTONE_TENANT_USER_PASSWORD_ rgw_keystone_admin_tenant = _KEYSTONE_TENANT_NAME_ rgw_keystone_accepted_roles = _KEYSTONE_ACCEPTED_USER_ROLES_ ## rgw_keystone_token_cache_size = _NUMBER_OF_TOKENS_TO_CACHE_ rgw_keystone_revocation_interval = _NUMBER_OF_SECONDS_BEFORE_CHECKING_REVOKED_TICKETS_ rgw_keystone_make_new_tenants = _TRUE_FOR_PRIVATE_TENANT_FOR_EACH_NEW_USER_ rgw_s3_auth_use_keystone = true nss_db_path = _PATH_TO_NSS_DB_
其它资源
- 红帽 OpenStack 平台 13 的用户和身份管理指南.
- 红帽 OpenStack 平台 15 用户和身份管理指南.
- 红帽 OpenStack 平台 16 的用户和身份管理指南.