rgw s3与keystone集成简要文档

最新推荐文章于 2021-06-19 13:10:52 发布
最新推荐文章于 2021-06-19 13:10:52 发布
阅读量523 收藏
点赞数
文章标签: swift
原文链接:https://my.oschina.net/yangfanlinux/blog/829974
版权

    虽然ceph官网有对rgw与keystone集成的描述。但是描述确实不够详细,尤其对keystone v2及v3的配置容易让使用者混淆。导致在部署过程中会遇到很多问题,下面具体描述一下L版openstack与J版ceph的keystone v2配置过程。

一、      背景介绍

      Ceph对象存储模块rgw与keystone可以对接。从而实现所有的对象存储帐号信息可以由keystone管理,keystone负责保存和认证swift和s3的账户及密码。这些账号信息不必在rgw中手动创建。在cliend端连接s3及swift时,rgw会向keystone发送认证请求,是否通过认证由keystone决定。

二、      配置文档

1.ceph配置

Rgw支持keystone v2及keystone v3认证。针对我的keystone v2生产环境,rgw 所需配置如下:

#开启s3 keystone认证

rgw_s3_auth_use_keystone = true

#keystone服务认证endpoint地址。s3作为内部服务,社区建议使用35357内部端口。

rgw_keystone_url = http://192.168.242.128:35357

#生产环境建议关闭admin_token认证。采用下列user,password,tenant组合替代

#rgw_keystone_admin_token = 1

#keystone中admin的信息

#如果采用admin_user的方式登录,需要配置nss_db_path地址

nss_db_path = /var/ceph/nss

rgw_keystone_admin_user = admin

rgw_keystone_admin_password = 1

rgw_keystone_admin_tenant=admin

#keystone v2认证

rgw_keystone_api_version = 2

#目前生产环境keystone没有开启ssl认证,所以关闭此认证。

rgw_keystone_verify_ssl=false

#rgw接受keystone中的角色名称。

rgw_keystone_accepted_roles = _member_, Member, admin

2.keystone配置

修改/etc/keystone/keystone-paste.ini如下字段,为如下红色字体

[filter:revoke_extension]

paste.filter_factory = keystone.contrib.s3:S3Extension.factory

[pipeline:public_api]

# The last item in this pipeline must be public_service or an equivalent

# application. It cannot be a filter.

pipeline = sizelimit url_normalize request_id build_auth_context token_auth admin_token_auth json_body ec2_extension s3_extension user_crud_extension public_service

[pipeline:admin_api]

# The last item in this pipeline must be admin_service or an equivalent

# application. It cannot be a filter.

pipeline = sizelimit url_normalize request_id build_auth_context token_auth admin_token_auth json_body ec2_extension s3_extension crud_extension admin_service

3.生成PKI(admin_token方式不需要)

keystone-manage pki_setup

4.重启keystone服务

5.创建swift服务

keystone service-create --name swift --type object-store
keystone endpoint-create --service-id <id> --publicurl http://radosgw.example.com/swift/v1 \
        --internalurl http://radosgw.example.com/swift/v1 --adminurl http://radosgw.example.com/swift/v1

6.签名pki(必须切换到root用户,sudo的方式报错)

mkdir /var/ceph/nss

openssl x509 -in /etc/keystone/ssl/certs/ca.pem -pubkey | \
        certutil -d /var/ceph/nss -A -n ca -t "TCu,Cu,Tuw"
openssl x509 -in /etc/keystone/ssl/certs/signing_cert.pem -pubkey | \
        certutil -A -d /var/ceph/nss -n signing_cert -t "P,P,P"

7.把生成的/var/ceph/nss/下的文件拷贝到rgw主机下的(nss_db_path )这个目录并修改为ceph:ceph用户/组。

8.启动rgw服务

通过openstack ec2系列命令可以创建下列AWS方式的访问账户。Access Key和Secret Key用来访问S3。

140001_Dcm3_2900306.png

     Rgw 的账户对应于Keystone的租户。Keystone中的user对应Gateway中的subuser。在S3中,没有subuser的概念,因此ec2命令生成的多个access、secret key如果所属于一个Project ID,则访问的是相同的bucket资源。。同时需要注意的是,如果私有云使用s3作为backup或者轻量级io负载,keystone认证是没问题的。如果io请求负载过大,会使keystone的验证成为瓶颈,并且导致s3的请求超时,详细信息请搜索《Mirantis-Technical-Bulletin-S3-API-Keystone-integration-in-Ceph-RADOS-Gateway.pdf》

转载于:https://my.oschina.net/yangfanlinux/blog/829974

chiyan0865
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Keystone验证过程
云计算
11-27 2476
Keystone验证过程 使用nova list命令跟踪: /usr/lib/python2.6/site-packages/novaclient/shell.py 667行 其中self.cs.authenticate()主要是去keystone获取token ,具体方法如下:   /usr/lib/python2.6/site-packages/novaclient/cli
ceph rgw应用手册
03-14
ceph rgw应用部署手册,红帽官方出品,上手必备。
ceph radosgw与keystone整合
weixin_34267123的博客
11-30 360
1、参考http://penguintux.blog.51cto.com/3021117/1872939部署好ceph radosgwceph版本:jeweldocker镜像:ceph/daemon:tag-build-master-jewel-centos-72、安装keystone,这里使用kolla newton安装好了keystone参考http://penguint...
rgw对接keystone keystone
huangaijuan1的博客
11-18 629
版本 ceph版本:12.2.10 openstack版本:n版本 barbican版本:3.0.0 rgw对接keystone http://docs.ceph.com/docs/master/radosgw/keystone/ http://docs.ceph.com/docs/master/radosgw/s3/authentication/ 1.A user that Keystone authorizes to access the gateway will also be auto
S3快速入门
霓虹深处
02-26 786
文档: https://s3browser.com/help.aspx 获取:AWS Access Keys. https://s3browser.com/aws-access-key-id-and-secret-access-key.aspx
RGW中的请求的认证过程
litianze99的专栏
11-17 2531
RGW中的用户认证过程(keystone or rados backend)用户s3用户请求的合法性验证过程:src/rgw/rgw_rest_s3.cc Rgw的认证方式有两种一个是使用keystone认证;一个是使用rados自带的认证方式;根据配置判断是否使用keystone认证;如果配置了keystone方式,则keystone方式;(二选一)int RGW_Auth_S3::author
Ceph Object Gateway与keystone集成
litianze99的专栏
08-19 2883
简介 Ceph Object Gateway与keystone集成用于用户认证服务是ceph本身都支持的一个扩展,keystone是openstack项目中的一个子项目,主要担负用户身份认证及服务分类管理。集成keystone之后gateway就可以使用其用keystone来认证合法用户。经keystone认证的用户就具有访问gateway的权限。
RGW 的GC深入解析与调优
06-20
RGW 的 GC 深入解析与调优 GC(Garbage Collection,垃圾回收)是RGW 中的一种异步磁盘空间回收操作。GC 的出现是为了释放无用的对象占用的磁盘空间,提高存储设备的利用率。在 RGW 中,GC 通常发生在以下三种情况...
s3多版本multi versioning
08-27
S3多版本(Multi-Versioning)功能详解 S3多版本(Multi-Versioning)功能是Amazon S3提供的一种对象存储机制,该功能允许用户在同一个Bucket中存储多个版本的对象,每个版本都有一个唯一的版本号。通过该功能,...
rgw nfs基于nfs-ganesha的实现
10-17
### rgw nfs基于nfs-ganesha的实现 #### 概述 本文旨在总结通过nfs-ganesha实现ceph rgw nfs接口时遇到的问题及解决方案。ceph作为一个分布式存储系统,支持多种存储接口,包括对象存储接口(RADOS Gateway,简称...
CEPH的对象存储RGW更新配额的源码跟踪
06-29
利用visio软件编写的CEPH的对象存储RGW更新配额的源码跟踪,从删除和上传的动作一直跟踪到具体更新配的代码位置
radosgw和keystone对接
dengxiafubi的博客
08-10 992
1. ceph_conf 配置文件 [client.radosgw.gateway] host=node-1 keyring=/etc/ceph/ceph.client.radosgw.keyring rgw socket path=/var/run/ceph/ceph.radosgw.gateway.fastcgi.sock log file=/var/log/radosgw/clie
rgw认证
huangaijuan1的博客
07-17 1073
ceph local_engine 使用保存在RGW的meta pool中的AccessKey和SecretKey对请求中的AccessKeyId和Signature进行验证,可由bool配置项rgw_s3_auth_use_rados控制是否启用。 external_engine 递归地引入外部身份验证Engine的支持 keystone_engine(swift) 类型为EC2En...
对象网关服务器端加密
QTM_Gitee的博客
06-19 786
对象网关支持上传对象的服务器端加密,有 3 个管理加密密钥的选项。 服务器端加密意味着数据以未加密的形式通过 HTTP 发送,对象网关以加密形式将该数据存储在 Ceph 存储集群中。 注 服务器端加密请求必须通过安全的 HTTPS 连接发送,以避免以明文形式发送机密。 如果代理用于 SSL 终止,则必须启用rgw trust forwarded https,然后转发的请求才会被信任为安全。 要点 要使用加密,客户端请求必须通过 SSL 连接发送请求。 RGW 不支持来自客户端的 S3 加密,除非 Ce
keystone认证原理
实践求真知
03-17 3995
一 认证原理图二 UUID认证的原理当用户拿着有效的用户名和密码去keystone认证后,keystone就会返回给他一个token,这个token就是一个uuid。以后用户进行其他操作时,都必须出示这个token。例如当nova接到一个请求后,就会用这个token去向keystone进行请求验证,keystone通过比对token,以及检查token的有效期,来判断token是否合法,然后返回给...
Amazon S3Swift鉴权机制分析
幽雨雨幽
01-10 1238
基于Base64编码的HTTP Basic Authentication由于安全问题,已经不再广泛使用了。在云存储中,数据的安全性一直被广泛关注。亚马逊的AWS S3和Openstack Swift分别采取了不同的算法来对每一个HTTP请求进行鉴权。以下是二者的鉴权过程: 一、AWS S3的HTTP请求鉴权流程     AWS采取的鉴权算法类似于HTTP基本认证。我们知道Base64只是对字符串进...
(转)理解Keystone的四种Token
weixin_30603633的博客
01-11 561
Token 是什么 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 四种 Token 的由来 D...
Swift支持Amazon S3的机制及优化
云存储积累池
07-28 3248
默认的Keystone安装后并不支持S3,需要修改Keystone的PasteDeploy配置文件,在ec2_extension之后加入s3_extension中间件。首先还需要定义该中间件: 1).在/etc/keystone/keystone.conf文件中增加如下配置: [filter:s3_extension] paste.filter_factory = keystone.cont
swift对接整合ceph
u014706515的博客
09-06 2607
基本原理科普: ceph对象存储组件radosgw原生支持swift接口,对接只是把openstack的权限认证配置到ceph里,创建endpoint时指向ceph rgw地址就可以了。 我们要做两件事儿 第一,安装ceph rgw。 如果你是使用ceph deploy部署推荐看官方文档: https://docs.ceph.com/docs...
linux环境下rgw的安装
最新发布
05-18
rgw s3 auth use keystone = true # 使用 OpenStack Keystone 进行身份验证 rgw enable usage log = true # 启用 RGW 的使用日志 rgw usage log tick interval = 15 # 使用日志的时间间隔 [client.rgw.gateway....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值