文档章节

rgw s3与keystone集成简要文档

2
 25641463
发布于 2017/01/24 14:13
字数 780
阅读 494
收藏 0

码上生花,ECharts 作品展示赛正式启动!>>>

    虽然ceph官网有对rgw与keystone集成的描述。但是描述确实不够详细,尤其对keystone v2及v3的配置容易让使用者混淆。导致在部署过程中会遇到很多问题,下面具体描述一下L版openstack与J版ceph的keystone v2配置过程。

一、      背景介绍

      Ceph对象存储模块rgw与keystone可以对接。从而实现所有的对象存储帐号信息可以由keystone管理,keystone负责保存和认证swift和s3的账户及密码。这些账号信息不必在rgw中手动创建。在cliend端连接s3及swift时,rgw会向keystone发送认证请求,是否通过认证由keystone决定。

二、      配置文档

1.ceph配置

Rgw支持keystone v2及keystone v3认证。针对我的keystone v2生产环境,rgw 所需配置如下:

#开启s3 keystone认证

rgw_s3_auth_use_keystone = true

#keystone服务认证endpoint地址。s3作为内部服务,社区建议使用35357内部端口。

rgw_keystone_url = http://192.168.242.128:35357

#生产环境建议关闭admin_token认证。采用下列user,password,tenant组合替代

#rgw_keystone_admin_token = 1

#keystone中admin的信息

#如果采用admin_user的方式登录,需要配置nss_db_path地址

nss_db_path = /var/ceph/nss

rgw_keystone_admin_user = admin

rgw_keystone_admin_password = 1

rgw_keystone_admin_tenant=admin

#keystone v2认证

rgw_keystone_api_version = 2

#目前生产环境keystone没有开启ssl认证,所以关闭此认证。

rgw_keystone_verify_ssl=false

#rgw接受keystone中的角色名称。

rgw_keystone_accepted_roles = _member_, Member, admin

2.keystone配置

修改/etc/keystone/keystone-paste.ini如下字段,为如下红色字体

[filter:revoke_extension]

paste.filter_factory = keystone.contrib.s3:S3Extension.factory

[pipeline:public_api]

# The last item in this pipeline must be public_service or an equivalent

# application. It cannot be a filter.

pipeline = sizelimit url_normalize request_id build_auth_context token_auth admin_token_auth json_body ec2_extension s3_extension user_crud_extension public_service

[pipeline:admin_api]

# The last item in this pipeline must be admin_service or an equivalent

# application. It cannot be a filter.

pipeline = sizelimit url_normalize request_id build_auth_context token_auth admin_token_auth json_body ec2_extension s3_extension crud_extension admin_service

3.生成PKI(admin_token方式不需要)

keystone-manage pki_setup

4.重启keystone服务

5.创建swift服务

keystone service-create --name swift --type object-store
keystone endpoint-create --service-id <id> --publicurl http://radosgw.example.com/swift/v1 \
        --internalurl http://radosgw.example.com/swift/v1 --adminurl http://radosgw.example.com/swift/v1

6.签名pki(必须切换到root用户,sudo的方式报错)

mkdir /var/ceph/nss

openssl x509 -in /etc/keystone/ssl/certs/ca.pem -pubkey | \
        certutil -d /var/ceph/nss -A -n ca -t "TCu,Cu,Tuw"
openssl x509 -in /etc/keystone/ssl/certs/signing_cert.pem -pubkey | \
        certutil -A -d /var/ceph/nss -n signing_cert -t "P,P,P"

7.把生成的/var/ceph/nss/下的文件拷贝到rgw主机下的(nss_db_path )这个目录并修改为ceph:ceph用户/组。

8.启动rgw服务

通过openstack ec2系列命令可以创建下列AWS方式的访问账户。Access Key和Secret Key用来访问S3。

     Rgw 的账户对应于Keystone的租户。Keystone中的user对应Gateway中的subuser。在S3中,没有subuser的概念,因此ec2命令生成的多个access、secret key如果所属于一个Project ID,则访问的是相同的bucket资源。。同时需要注意的是,如果私有云使用s3作为backup或者轻量级io负载,keystone认证是没问题的。如果io请求负载过大,会使keystone的验证成为瓶颈,并且导致s3的请求超时,详细信息请搜索《Mirantis-Technical-Bulletin-S3-API-Keystone-integration-in-Ceph-RADOS-Gateway.pdf》

© 著作权归作者所有

2
粉丝 7
博文 15
码字总数 8009
作品 0
沈阳
高级程序员
私信 提问
加载中
请先登录后再评论。
RGW S3 Authorize解析

截止到目前为止,RGW S3的认证部分支持AWS v4认证、AWS v2认证以及匿名用户认证。这三种认证的总入口位于rgwprocess.cc::processrequest()函数,该函数中处理认证部分的代码如下: rgwproce...

linuxhunter
2016/04/18
565
0
Ceph分布式存储之三-S3接口编程

目录 开发环境与基本概念(2018-02) 搭建RGW环境(2018-2-07) 安装配置S3 Client(2018-2-07) 测试S3 Client及常用命令(2018-2-07) C#语言调用S3接口的实现方式(2018-02) 基本框架及调用流程(20...

osc_kfduktz3
2018/03/15
7
0
Ceph 之 Background on http frontends

Background on http frontends -civetweb frontend --thread per connection, requires a lot of threads---qos or priority queuing would block frontend threads -beast frontend --boost......

osc_t0xmr011
2019/08/30
4
0
RGW S3 Multipart解析

S3分段上传技术主要应用在大文件的数据上传上,通常在S3客户端会对上传的大文件做一次分片操作。在RGW内部还会对S3客户端发送过来的数据再进行一次分片处理,RGW默认分片大小是4MB。下面就M...

linuxhunter
2016/04/13
796
1
RGW S3 ACL解析

RGW ACL主要类关系图如下图所示: RGW ACL处理类关系图如下图所示: RGW ACL主要处理流程详细说明如下。 一、PUT ACL。 RGWPutACL::execute() |从HTTP请求数据流中解析出RGWAccessControlPol...

linuxhunter
2016/04/14
264
0

没有更多内容

加载失败,请刷新页面

加载更多

pandas创建excel文件

import pandas a=pandas.DataFrame({'ID':[1,2,3],'Name':['Time','Mike','Nick']}) b=a.set_index('ID') #重新设置索引 b.to_excel(r'D:\计算机二级\ocr 训练\a.xlsx')......

osc_22rhv8iu
5分钟前
7
0
Java生鲜电商平台-生鲜小程序首页系统功能详解(小程序/APP)

Java生鲜电商平台-生鲜小程序首页系统功能详解(小程序/APP) 说明:对于一个成熟的生鲜小程序而言,首页至关重要,下面我就列举,我们系统中的首页的功能,本文只是简单的介绍下,以达到抛砖...

osc_hcjj25bn
6分钟前
3
0
用pandas读取excel

import pandas excel=pandas.read_excel('现代征信学.xlsx',index_col='列名',header=None) #header默认为0,指读取第几行,0代表第一行 excel.columns=['Id','title','hh','uei','t'] #重新设......

osc_kyehmyzk
7分钟前
9
0
offer到手!记一次拼多多面试经验

面试前 面完蚂蚁后,早就听闻拼多多这个独角兽,决定也去面一把。首先我在脉脉找了一个拼多多的HR,加了微信聊了下,发了简历便开始我的拼多多面试之旅。这里要非常感谢拼多多HR小姐姐,从面...

osc_ylezri59
9分钟前
11
0
python爬虫代码优化:使用生成器重构提取数据方法

前言 在刚开始学习python的时候,有看到过迭代器和生成器的相关内容,不过当时并未深入了解,更谈不上使用了 前两天在网上冲浪时,又看到了几篇关于生成器的文章,想到之前写的爬虫代码,其实...

osc_9djizdje
9分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部