Добавление секрета для работы с Ceph

Keyring

Скопировать на вычислительный узел файл ceph.client.openstack.keyring

Установить корректные права на вычислительном узле:

chmod 600 /etc/ceph/ceph.client.openstack.keyring

Secret.xml

Прописать security в libvirt на вычислительном узле, для этого – создать файл secret.xml

<secret ephemeral='no' private='no'>
        <usage type='ceph'>
                <name>client.openstack secret</name>
        </usage>
</secret>

Объявить secret на уровне virsh:

virsh secret-define secret.xml

Добавленное описание будет доступно через virsh.

Получить UUID секрета командой:

virsh secret-list

Полученный UUID сохраните для последующей настройки nova compute.

Keyfile

Далее, надо получить ключ для client.openstack:

ceph auth get-key client.openstack | tee client.openstack.key

Команда сформирует файл с ключом, необходимым для подключения гипервизора к кластеру ceph.

Выполнить добавление ключа командой, указав UUID секрета и файл, содержащий ключ.

sudo virsh secret-set-value --secret e800d15f-fd71-43f6-bccd-9e2dc734e436 --file client.openstack.key

Nova compute

Внести изменения в настройки nova compute:

[libvirt]
virt_type = kvm
images_type = rbd
live_migration_scheme = tcp
live_migration_inbound_addr = 10.11.21.223
images_rbd_pool = vms
rbd_user = openstack
rbd_secret_uuid = e800d15f-fd71-43f6-bccd-9e2dc734e436
rbd_ceph_conf = /etc/ceph/ceph.conf

После перезагрузки сервиса nova-compute - новый бэкенд ceph будет доступен.

Keys	Action
`?`	Open this help
`n`	Next page
`p`	Previous page
`s`	Search