Per configurare il partizionamento dell'indice del compartimento per tutte le istan-ze di Object Gateway, includere rgw_override_bucket_index_max_shards nella sezione [global].
Per configurare il partizionamento dell'indice del compartimento solo per una determinata istanza di Object Gateway, includere rgw_override_bucket_in-dex_max_shards nella relativa sezione dell'istanza.
2. Riavviare Object Gateway. Per ulteriori dettagli, vedere Sezione 11.3, «Funzionamento del servizio Object Gateway».
11.9.2.2 Configurazioni multisito
Le configurazioni multisito possono avere un pool di indice diverso per la gestione dei failover.
Per configurare un numero di partizioni coerente per le zone in un gruppo di zone, impostare l'opzione bucket_index_max_shards nella configurazione del gruppo di zone:
1. Esportare la configurazione del gruppo di zone nel file zonegroup.json:
root@minion > radosgw-admin zonegroup get > zonegroup.json
2. Modificare il file zonegroup.json e impostare l'opzione bucket_index_max_shards per ciascuna zona con nome.
3. Reimpostare il gruppo di zone:
root@minion > radosgw-admin zonegroup set < zonegroup.json
4. Aggiornare il periodo:
root@minion > radosgw-admin period update --commit
158 Partizionamento dell'indice del compartimento per nuovi compartimenti SES 5
11.10 Integrazione di OpenStack Keystone
OpenStack Keystone è un servizio di gestione delle identità per il prodotto OpenStack. È possi-bile integrare Object Gateway con Keystone per configurare un gateway che accetti un token di autenticazione Keystone. Un utente autorizzato da Keystone ad accedere al gateway verrà verificato sul lato Ceph Object Gateway e verrà creato automaticamente se necessario. Object Gateway interroga Keystone periodicamente per un elenco di token revocati.
11.10.1 Configurazione di OpenStack
Prima di configurare Ceph Object Gateway, è necessario configurare OpenStack Keystone all'a-bilitazione del servizio Swift e fare in modo questo che punti a Ceph Object Gateway:
1. Impostare il servizio Swift. Prima di poter utilizzare OpenStack per la convalida degli utenti Swift, creare il servizio Swift:
root # openstack service create \ --name=swift \
--description="Swift Service" \ object-store
2. Impostare gli endpoint. Dopo aver creato il servizio Swift, fare in modo che punti a Ceph Object Gateway. Sostituire REGION_NAME con il nome del gruppo di zone o il nome dell'a-rea del gateway.
root # openstack endpoint create --region REGION_NAME \ --publicurl "http://radosgw.example.com:8080/swift/v1" \ --adminurl "http://radosgw.example.com:8080/swift/v1" \ --internalurl "http://radosgw.example.com:8080/swift/v1" \ swift
3. Verificare le impostazioni. Dopo aver creato il servizio Swift e impostati gli endpoint, vi-sualizzare questi ultimi per verificare che tutte le impostazioni siano corrette.
root # openstack endpoint show object-store
159 Integrazione di OpenStack Keystone SES 5
11.10.2 Configurazione di Ceph Object Gateway
11.10.2.1 Configurazione dei certificati SSL
Ceph Object Gateway interroga Keystone periodicamente per un elenco di token revocati. Tali richieste sono codificate e firmate. È inoltre possibile configurare Keystone in modo che vengano forniti token firmati da se stessi, a loro volta codificati e firmati. È necessario configurare il gateway in modo che possa decodificare e verificare tali messaggi firmati. Pertanto, è necessario convertire in formato "nss db" i certificati OpenSSL utilizzati da Keystone per creare le richieste:
root # mkdir /var/ceph/nss
root # openssl x509 -in /etc/keystone/ssl/certs/ca.pem \ -pubkey | certutil -d /var/ceph/nss -A -n ca -t "TCu,Cu,Tuw"
rootopenssl x509 -in /etc/keystone/ssl/certs/signing_cert.pem \ -pubkey | certutil -A -d /var/ceph/nss -n signing_cert -t "P,P,P"
È inoltre possibile terminare OpenStack Keystone con un certificato SSL firmato da se stessi ai fini dell'iterazione di Ceph Object Gateway con Keystone. Installare il certificato SSL di Keystone sul nodo sul quale è in esecuzione Ceph Object Gateway o in alternativa impostare il valore dell'opzione rgw keystone verify ssl su "false". L'impostazione di rgw keystone verify ssl su "false" significa che non verrà effettuato alcun tentativo di verifica del certificato da parte del gateway.
11.10.2.2 Configurazione delle opzioni di Object Gateway
È possibile configurare l'integrazione di Keystone utilizzando le opzioni seguenti:
rgw keystone api version
Versione dell'API Keystone. Le opzioni valide sono 2 o 3. Il valore di default è 2.
rgw keystone url
URL e numero di porta dell'API amministrativa RESTful sul server Keystone. Segue il mo-dello SERVER_URL:PORT_NUMBER.
rgw keystone admin token
Token o segreto condiviso configurato all'interno di Keystone per le richieste amministra-tive.
rgw keystone accepted roles
Ruoli richiesti per provvedere alle richieste. L'impostazione di default è "Member, admin".
160 Configurazione di Ceph Object Gateway SES 5
rgw keystone accepted admin roles
Elenco dei ruoli che consentono a un utente di ottenere privilegi amministrativi.
rgw keystone token cache size
Numero massimo di voci nella cache dei token Keystone.
rgw keystone revocation interval
Numero di secondi prima della verifica dei token revocati. Il valore di default è 15 * 60.
rgw keystone implicit tenants
Crea nuovi utenti nei rispettivi tenant con lo stesso nome. L'impostazione di default è
"false".
rgw s3 auth use keystone
Se impostata su "'true", Ceph Object Gateway eseguirà l'autenticazione degli utenti tramite Keystone. L'impostazione di default è "false".
nss db path
Percorso del database NSS.
È inoltre possibile configurare il tenant del servizio Keystone, l'utente e la password per Keystone (per la versione v2.0 di OpenStack Identity API), in modo simile a quanto avviene per la confi-gurazione dei servizi OpenStack. In tal modo si può evitare di impostare il segreto condiviso rgw keystone admin token nel file di configurazione, che deve essere disabilitato negli ambienti di produzione. Le credenziali del tenant del servizio devono disporre dei privilegi amministra-tivi. Per ulteriori dettagli, fare riferimento alla documentazione ufficiale di OpenStack Keystone (https://docs.openstack.org/keystone/latest/#setting-up-projects-users-and-roles) (in lingua in-glese). Di seguito sono riportate le opzioni di configurazione correlate:
rgw keystone admin user
Nome utente amministratore Keystone.
rgw keystone admin password
Password utente amministratore Keystone.
rgw keystone admin tenant
Tenant utente amministratore Keystone versione 2.0.
161 Configurazione di Ceph Object Gateway SES 5
Un utente Ceph Object Gateway viene mappato a un tenant Keystone. A un utente Keystone vengono assegnati ruoli diversi, possibilmente su più tenant. Quando Ceph Object Gateway ot-tiene il ticket, fa riferimento ai ruoli del tenant e dell'utente assegnati a tale ticket, quindi accetta o rifiuta la richiesta in base all'impostazione definita per l'opzione rgw keystone accepted roles.