注意

本文档适用于 Ceph 开发版本。

OpenStack Barbican 集成

OpenStackBarbican可以用作安全的密钥管理服务服务器端加密.

../../_images/rgw-encryption-barbican.png

  1. 配置 Keystone

  2. 创建一个 Keystone 用户

  3. 配置 Ceph 对象网关

  4. 在 Barbican 中创建一个密钥

配置 Keystone

Barbican 依赖于 Keystone 来授权和控制其密钥的访问。

请参阅OpenStack Keystone 集成.

创建一个 Keystone 用户

创建一个新用户,该用户将用于 Ceph 对象网关来检索密钥。

例如:

user = rgwcrypt-user
pass = rgwcrypt-password
tenant = rgwcrypt

请参阅 OpenStack 文档以管理项目、用户和角色.

在 Barbican 中创建一个密钥

请参阅 Barbican 文档以如何创建一个密钥。对 Barbican 的请求必须在X-Auth-Token头部中包含一个有效的 Keystone 令牌。

Note

服务器端加密密钥必须是 256 位长并 base64 编码。

示例请求:

POST /v1/secrets HTTP/1.1
Host: barbican.example.com:9311
Accept: */*
Content-Type: application/json
X-Auth-Token: 7f7d588dd29b44df983bc961a6b73a10
Content-Length: 299

{
    "name": "my-key",
    "expiration": "2016-12-28T19:14:44.180394",
    "algorithm": "aes",
    "bit_length": 256,
    "mode": "cbc",
    "payload": "6b+WOZ1T3cqZMxgThRcXAQBrS5mXKdDUphvpxptl9/4=",
    "payload_content_type": "application/octet-stream",
    "payload_content_encoding": "base64"
}

响应:

{"secret_ref": "http://barbican.example.com:9311/v1/secrets/d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723"}

在响应中,d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723是可以在任何SSE-KMS请求中使用的密钥 ID。

这个新创建的密钥对用户rgwcrypt-user. 这个如何设置/替换 ACL对于使用 snap-schedule Ceph 管理器模块的卷,如果删除卷,则 snap-schedule Ceph 管理器模块将继续保留对旧池的引用。这将导致 snap-schedule Ceph 管理器模块出现故障并记录错误。建议在删除卷后重新启动 snap-schedule Ceph 管理器模块。如果故障仍然存在,则建议重新启动

示例请求(假设rgwcrypt-user906aa90bd8a946c89cdff80d0869460f):

PUT /v1/secrets/d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723/acl HTTP/1.1
Host: barbican.example.com:9311
Accept: */*
Content-Type: application/json
X-Auth-Token: 7f7d588dd29b44df983bc961a6b73a10
Content-Length: 101

{
    "read":{
    "users":[ "906aa90bd8a946c89cdff80d0869460f" ],
    "project-access": true
    }
}

响应:

{"acl_ref": "http://barbican.example.com:9311/v1/secrets/d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723/acl"}

配置 Ceph 对象网关

编辑 Ceph 配置文件以将 Barbican 作为 KMS 启用,并添加有关 Barbican 服务器和 Keystone 用户的详细信息:

rgw crypt s3 kms backend = barbican
rgw barbican url = http://barbican.example.com:9311
rgw keystone barbican user = rgwcrypt-user
rgw keystone barbican password = rgwcrypt-password

当使用 Keystone API 版本 2 时:

rgw keystone barbican tenant = rgwcrypt

当使用 API 版本 3 时:

rgw keystone barbican project
rgw keystone barbican domain

由 Ceph 基金会带给您

Ceph 文档是一个社区资源,由非盈利的 Ceph 基金会资助和托管Ceph Foundation. 如果您想支持这一点和我们的其他工作,请考虑加入现在加入.