一种基于国密算法的ceph可视化一键部署方法与流程

技术特征：
1.一种基于国密算法的ceph可视化一键部署方法，其特征在于，包括如下步骤：步骤s110、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机；步骤s120、获取ceph分布式存储集群的待部署节点；步骤s130、基于国密算法sm2/sm3/sm4实现ceph分布式存储集群的待部署节点之间的免密登陆；步骤s140、更新待部署节点的源和依赖，并在其中一个待部署节点安装ceph
‑
ansible工具；步骤s150、在安装有ceph
‑
ansible工具的待部署节点上设置ceph分布式存储集群中各个待部署节点支持的服务；步骤s160、对待部署节点进行设置；步骤s170、修改ceph
‑
ansible工具安装路径下的配置文件，基于国密算法sm4为ceph分布式存储集群的用户及各个待部署节点支持的服务创建一个密钥环；步骤s180、通过ceph
‑
ansible工具实现ceph分布式存储集群一键部署。2.根据权利要求1所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，所述步骤s180的方法，具体操作包括：步骤s200、获取新增的待部署节点及新增的待部署节点支持的服务，对ceph分布式存储集群进行扩容。3.根据权利要求2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，所述步骤s200的方法，具体操作包括：步骤s210、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机；步骤s220、获取新增的ceph分布式存储集群的待部署节点，其中，新增的ceph分布式存储集群的待部署节点为在预设网段内能ping通的物理硬件设备服务器和/或虚拟机对应的节点中除去已经部署完成后的节点；步骤s230、重复执行步骤s130～步骤s180，实现对ceph分布式存储集群的可视化一键扩容操作。4.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，所述步骤s180之后，还包括：步骤s190、查询ceph分布式存储集群的部署状态，并对ceph分布式存储集群部署日志进行打印。5.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，所述步骤s120之后，还包括：步骤s120
‑
1、关闭ceph分布式存储集群的待部署节点对应的防火墙服务。6.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于：所述步骤s120之后，还包括：步骤s120
‑
2、将ceph分布式存储集群的时间进行同步。7.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，所述步骤s130的方法，具体操作包括：步骤s1300、在各个待部署节点基于ssh通信协议进行免密登陆的基础上增加基于国密算法sm2/sm3的tsl/ssl单向认证，并建立基于国密算法sm3/sm4的可信通道；
步骤s1301、第二待部署节点向ca机构申请数字证书c1；其中，第二待部署节点为ceph分布式存储集群的其中一个待部署节点；步骤s1302、第一待部署节点向第二待部署节点发送ssl信息；步骤s1303、第二待部署节点接收ssl信息，向第一待部署节点第一待部署节点回应使用的ssl协议的版本及加密算法，并产生随机数r1，从第二待部署节点的秘钥库中取出要使用的sm2公钥，将sm2公钥及数字证书c1发送给第一待部署节点；步骤s1304、验证第一待部署节点接收到的数字证书c1是否合法；若是，则转入步骤s1305；若否，则与第二待部署节点拒绝与第一待部署节点连接；步骤s1305、第一待部署节点向第二待部署节点发送第一待部署节点支持的sm4国密算法方案信息给第二待部署节点；步骤s1306、第二待部署节点接收sm4国密算法方案信息后，同意使用sm4国密算法对通信报文进行加解密，并将同意使用sm4国密算法对通信报文进行加解密的信息发送给客户端；步骤s1307、第一待部署节点根据随机数r1生成随机码a，随机码a作为国密算法sm4加密的密钥，并使用sm2公钥对随机码a进行加密，获得加密文件a1，并将加密文件a1发送给第二待部署节点；步骤s1308、第二待部署节点使用sm2私钥对加密文件a1进行解密，获得国密算法sm4的密钥a；步骤s1309、由于第一待部署节点与第二待部署节点之间基于国密算法sm3/sm4的可信通道已经建立，通过国密算法sm4的密钥a对通信报文进行加解密，进行ssh通信。8.根据权利要求7所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，所述步骤s1309之后，还包括：步骤s1310、通过国密sm3哈希算法验证第一待部署节点与第二待部署节点之间的数据通信过程中通信报文的完整性。9.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，当进行加密时，所述步骤s170的方法，具体操作包括：步骤s1701a、在ceph分布式存储集群的各个待部署节点支持的指定服务所在的物理硬件设备服务器上预置sm4对称加密算法的密钥c2；其中，指定服务为ceph分布式存储集群所包含的mon组件及osd组件对应的服务；步骤s1702a、创建监视器密钥环ceph.mon.keyring，对监视器密钥环ceph.mon.keyring采用预置的密钥c2加密，获得基于国密算法sm4加密的第一监视器密钥环ceph.mon.keyring1；步骤s1703a、创建管理员密钥环，生成client.admin用户，然后添加client.admin用户到管理员密钥环上，获得client.admin用户密钥环ceph.client.admin.keyring；步骤s1704a、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥c2加密，获得基于国密算法sm4加密的第一认证密钥环ceph.client.admin.keyring1；步骤s1705a、创建一个bootstrap
‑
osd密钥环，生成client.bootstrap
‑
osd用户，然后添加client.bootstrap
‑
osd用户到bootstrap
‑
osd密钥环上，获得bootstrap
‑
osd密钥环ceph.keyring；
步骤s1706a、对bootstrap
‑
osd密钥环ceph.keyring采用预置的密钥c2加密，获得基于国密算法sm4加密的第二认证密钥环ceph.keyring1；步骤s1707a、将client.admin用户密钥环ceph.client.admin.keyring和bootstrap
‑
osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中，获得第二监视器密钥环ceph.mon.keyring11；步骤s1708a、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥c2加密，获得基于国密算法sm4加密的第三监视器密钥环ceph.mon.keyring111；步骤s1709a、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤s1701a～s1708a中基于国密算法sm4加密后的密钥环；其中，其他指定服务为ceph分布式存储集群中除mon组件及osd组件对应的服务以外的服务；步骤s1710a、创建所述指定服务对应的服务密钥环ceph.service.keyring；步骤s1711a、对服务密钥环ceph.service.keyring采用国密算法sm4进行加密，获得基于国密算法sm4加密的第三认证密钥环ceph.service.keyring1；步骤s1712a、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法sm4加密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证。10.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法，其特征在于，当进行解密时，所述步骤s170的方法，具体操作包括：步骤s1701b、在ceph分布式存储集群的各个待部署节点支持的服务所在的物理硬件设备服务器上预置sm4对称解密算法的密钥c2；其中，指定服务为ceph分布式存储集群所包含的mon组件及osd组件对应的服务；步骤s1702b、创建监视器密钥环ceph.mon.keyring，对监视器密钥环ceph.mon.keyring采用预置的密钥c2解密，获得基于国密算法sm4解密的第一监视器密钥环ceph.mon.keyring1；步骤s1703b、创建管理员密钥环，生成client.admin用户，然后添加client.admin用户到管理员密钥环上，获得client.admin用户密钥环ceph.client.admin.keyring；步骤s1704b、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥c2解密，获得基于国密算法sm4解密的第一认证密钥环ceph.client.admin.keyring1；步骤s1705b、创建一个bootstrbp
‑
osd密钥环，生成client.bootstrbp
‑
osd用户，然后添加client.bootstrbp
‑
osd用户到bootstrbp
‑
osd密钥环上，获得bootstrbp
‑
osd密钥环ceph.keyring；步骤s1706b、对bootstrbp
‑
osd密钥环ceph.keyring采用预置的密钥c2解密，获得基于国密算法sm4解密的第二认证密钥环ceph.keyring1；步骤s1707b、将client.admin用户密钥环ceph.client.admin.keyring和bootstrbp
‑
osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中，获得第二监视器密钥环ceph.mon.keyring11；步骤s1708b、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥c2解密，获得基于国密算法sm4解密的第三监视器密钥环ceph.mon.keyring111；
步骤s1709b、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤s1701b～s1708b中基于国密算法sm4解密后的密钥环；其中，其他指定服务为ceph分布式存储集群中除mon组件及osd组件对应的服务以外的服务；步骤s1710b、创建所述指定服务对应的服务密钥环ceph.service.keyring；步骤s1711b、对服务密钥环ceph.service.keyring采用国密算法sm4进行解密，获得基于国密算法sm4加密的第三认证密钥环ceph.service.keyring1；步骤s1712b、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法sm4解密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证。

技术总结
本发明公开了一种基于国密算法的ceph可视化一键部署方法，其包括基于国密算法SM2/SM3/SM4实现ceph分布式存储集群的待部署节点之间的免密登陆。本发明通过在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证，并建立基于国密算法SM3/SM4的可信通道，实现对现有加解密算法的国密替代，保障了任意两个待部署节点之间通信认证的安全；然后通过对ceph分布式存储集群用户及各待部署节点支持的服务之间认证的密钥环采用国密算法SM4进行加解密，可以保证认证的密钥环的安全，保障用户隐私安全；最后通过一键部署方式配合采用ceph


技术研发人员：刘玲星 唐卓 周玮康 宋柏森 马兴旺
受保护的技术使用者：深圳市证通云计算有限公司 深圳市证通电子股份有限公司
技术研发日：2021.08.11
技术公布日：2021/12/17