2.12. Sécuriser le stockage attaché
OpenShift Container Platform prend en charge plusieurs types de stockage, à la fois pour les fournisseurs sur site et dans le nuage. En particulier, OpenShift Container Platform peut utiliser des types de stockage qui prennent en charge l'interface de stockage des conteneurs.
2.12.1. Plugins de volume persistant
Les conteneurs sont utiles pour les applications avec ou sans état. La protection du stockage attaché est un élément clé de la sécurisation des services avec état. En utilisant l'interface de stockage des conteneurs (CSI), OpenShift Container Platform peut incorporer le stockage à partir de n'importe quel back-end de stockage qui prend en charge l'interface CSI.
OpenShift Container Platform propose des plugins pour plusieurs types de stockage, notamment :
- Red Hat OpenShift Data Foundation *
- AWS Elastic Block Stores (EBS) *
- Système de fichiers élastiques AWS (EFS) *
- Disque Azure *
- Azure File *
- OpenStack Cinder *
- Disques persistants de la CME *
- VMware vSphere *
- Système de fichiers en réseau (NFS)
- FlexVolume
- Fibre Channel
- iSCSI
Les plugins pour les types de stockage avec provisionnement dynamique sont marqués d'un astérisque (*). Les données en transit sont chiffrées via HTTPS pour tous les composants d'OpenShift Container Platform qui communiquent entre eux.
Vous pouvez monter un volume persistant (PV) sur un hôte de n'importe quelle manière prise en charge par votre type de stockage. Les différents types de stockage ont des capacités différentes et les modes d'accès de chaque PV sont définis en fonction des modes spécifiques pris en charge par ce volume particulier.
Par exemple, NFS peut prendre en charge plusieurs clients en lecture/écriture, mais un PV NFS spécifique peut être exporté sur le serveur en lecture seule. Chaque PV possède son propre ensemble de modes d'accès décrivant ses capacités spécifiques, tels que ReadWriteOnce
, ReadOnlyMany
, et ReadWriteMany
.
2.12.3. Stockage en bloc
Pour les fournisseurs de stockage par blocs comme AWS Elastic Block Store (EBS), GCE Persistent Disks et iSCSI, OpenShift Container Platform utilise les fonctionnalités SELinux pour sécuriser la racine du volume monté pour les pods non privilégiés, ce qui fait que le volume monté appartient au conteneur auquel il est associé et n'est visible que par ce dernier.