Rook项目中的CephObjectStore支持RGW密钥配置管理

在Ceph分布式存储系统中，RGW(RADOS Gateway)作为对象存储网关，提供了与S3和Swift兼容的API接口。在实际生产环境中，RGW经常需要与第三方系统集成，如Keystone身份认证服务或Barbican密钥管理服务，这些集成往往需要配置敏感信息如密码或密钥。

Rook项目作为Kubernetes上运行Ceph的编排器，通过CephObjectStore自定义资源(CRD)来管理RGW实例。最新版本中，Rook团队为CephObjectStore添加了对RGW配置参数的支持，允许用户通过CRD直接配置RGW的各种参数。然而，对于敏感配置项如rgw_keystone_barbican_password，直接以明文形式存储在CRD中并不安全。

技术实现方案

Rook团队经过讨论后确定了以下实现方案：

1. 配置存储方式：敏感配置将通过Kubernetes Secret资源存储，而不是直接写在CRD中。这符合Kubernetes管理敏感信息的最佳实践。

2. 配置传递机制：敏感配置会被写入Ceph的monitor数据库，而不是通过环境变量或命令行参数传递给RGW容器。这种方式避免了敏感信息在容器运行时暴露的风险。

3. 配置清除机制：当需要移除某个敏感配置时，用户可以通过显式地将该配置值设为空字符串("")来实现。

配置示例

以下是一个使用Secret存储RGW敏感配置的示例：

apiVersion: ceph.rook.io/v1
kind: CephObjectStore
metadata:
  name: my-store
spec:
  gateway:
    rgwConfig:
      debug_rgw: "10"
    rgwCommandFlags:
      rgw_dmclock_auth_res: "100.0"
    rgwConfigFromSecret:
      rgw_keystone_barbican_password:
        secretName: barbican-secret
        secretKey: password

在这个示例中：

• rgw_keystone_barbican_password配置项的值将从名为barbican-secret的Kubernetes Secret中获取
• 具体值来自Secret中的password键

安全考虑

这种实现方式具有以下安全优势：

1. 敏感信息隔离：敏感配置与普通配置分离，存储在专门的Secret资源中。

2. 访问控制：可以利用Kubernetes的RBAC机制严格控制谁可以访问这些Secret。

3. 审计追踪：Secret资源的访问和修改可以被审计。

4. 加密支持：Secret可以使用Kubernetes的加密机制进行静态加密。

使用建议

对于需要与外部系统集成的RGW部署，建议：

1. 为每个集成点创建独立的Secret资源

2. 定期轮换Secret中的敏感信息

3. 使用Kubernetes的命名空间来隔离不同环境的Secret

4. 结合Vault等外部密钥管理系统实现更高级的密钥管理

这一功能的加入使得Rook在Kubernetes上管理Ceph对象存储时更加安全可靠，特别是对于需要与外部认证和密钥管理系统集成的企业级部署场景。