[改进后的中文总结内容]

Ceph 社区会议纪要 - SS3/KMS 集成与加密对象拷贝问题

日期: 2025-07-23 | 参会人员: Boris, Marcus, Cena 等


1. 主要议题与讨论

(1) SS3 与 KMS(密钥管理系统)集成问题

  • 问题背景: 由于当前使用的 OVH KMS 系统不支持 transit engine,需通过 KMIP 或 key-value engine 实现与 SS3 的集成。
  • 技术可行性: Ceph 代码库不支持非 Vault 的 KMS 后端,需开发新功能。KMIP 支持需升级以支持类似 Vault transit 的加密模式。
  • 替代方案讨论: 探索 IBM/OVH 提供的 KMS API 或开源 KMIP 实现,如 open-pkcs11
  • 后续行动: Boris 将尝试联系 OVH 获取 KMS 实例,社区将创建 Feature Tracker 标记此需求。

(2) 加密对象拷贝(Copy Encrypted Object)问题

  • 问题描述: 当前 Ceph 中,加密对象的拷贝和移动操作失败,原因是拷贝响应中缺少必要的加密元数据。
  • 技术细节: AWS S3 规范要求拷贝操作需返回与源对象相同的加密头。
  • 下一步计划: Marcus 将修复 multipart upload 的加密属性传递问题,并重新测试。

2. 关键结论与行动计划

事项 负责人 下一步行动
SS3 支持非 Vault KMS Boris 联系 OVH 获取 KMS 实例;评估 OpenBao 代理方案的可行性。
改进 Ceph KMIP 支持 社区 创建 Feature Tracker;评估代码修改范围,优先支持 transit-like 模式。
加密对象拷贝修复 Marcus 修复 multipart upload 的加密属性传递问题,重新提交 PR 并通过测试。

3. 其他备注

  • 关键术语保留英文(如 KMIP、transit engine、multipart upload、SSE-S3/KMS)。
  • 下次会议将跟进 KMS 集成进展和加密拷贝问题的修复状态。

会议结束时间: [需补充] | 下次会议时间- [需补充]