3.3. 転送中での暗号化
Red Hat Ceph Storage 4 以降、messenger バージョン 2 プロトコルの導入により、ネットワーク上のすべての Ceph トラフィックの暗号化を有効にすることができます。メッセンジャー v2 の secure
モード設定は、Ceph デーモンと Ceph クライアント間の通信を暗号化し、エンドツーエンドの暗号化を提供します。
メッセンジャー v2 プロトコル
Ceph の有線プロトコルの 2 つ目のバージョンである msgr2
には、以下の新機能が含まれています。
- 安全なモードは、ネットワークを介したすべてのデータの移動を暗号化します。
- 認証ペイロードのカプセル化による改善。
- 機能のアドバタイズおよびネゴシエーションの改善。
Ceph デーモンは、レガシー、v1 互換、および新しい v2 互換の Ceph クライアントを同じストレージクラスターに接続することができるように、複数のポートにバインドします。Ceph Monitor デーモンに接続する Ceph クライアントまたはその他の Ceph デーモンは、まず v2
プロトコルの使用を試みますが、可能でない場合は古い v1
プロトコルが使用されます。デフォルトでは、メッセンジャープロトコル v1
と v2
の両方が有効です。新規の v2 ポートは 3300 で、レガシー v1 ポートはデフォルトで 6789 になります。
msgr2
プロトコルは、以下の 2 つの接続モードをサポートします。
crc
-
cephx
で接続を確立すると、強固な初期認証を提供します。 -
ビットフリップから保護する
crc32c
整合性チェックを提供します。 - 悪意のある中間者攻撃に対する保護を提供しません。
- 盗聴者がすべての認証後のトラフィックを見るのを妨げません。
-
secure
-
cephx
で接続を確立すると、強固な初期認証を提供します。 - 認証後トラフィックをすべて完全に暗号化します。
- 暗号化整合性チェックを提供します。
-
デフォルトのモードは crc
です。
Ceph Object Gateway 暗号化
また、Ceph Object Gateway は S3 API を使用したお客様によって提供されるキーによる暗号化をサポートします。
転送において厳密な暗号化を必要とする規制コンプライアンス標準に準拠するために、管理者はクライアント側の暗号化で Ceph Object Gateway をデプロイ する必要があります。
Ceph ブロックデバイスの暗号化
システム管理者は、Ceph を Red Hat OpenStack Platform 13 暗号化のバックエンドとして統合し、RBD Cinder に dm_crypt
を使用して Ceph ブロックデバイスボリュームを Ceph Storage クラスター内で有線暗号化できるようにする 必要があります。
転送で厳密な暗号化を必要とする規制コンプライアンス標準に準拠するために、システム管理者は、RBD Cinder に dmcrypt
を使用して、Ceph ストレージクラスター内で有線暗号化を行う 必要があります。
関連情報
- SSL ターミネーションの詳細は、『Red Hat Ceph Storage データのセキュリティーおよび強化ガイド』を参照してください。
- S3 API 暗号化に関する詳細は、『Red Hat Ceph Storage 開発者ガイド』を参照してください。
3.3.1. メッセンジャー v2 プロトコルの有効化
Red Hat Ceph Storage 4 の新規インストールでは、msgr2 プロトコルの msgr2
がデフォルトで有効になっています。Red Hat Ceph Storage 3 以前では、Ceph Monitors は古い v1 ポート 6789
にバインドします。アップグレード後に、msgr2
プロトコルを有効にして新機能を利用できます。Ceph Monitor が msgr2
プロトコルにバインドされたら、Ceph Monitor サービスを再起動した後に v2 アドレスのアドバタイズを開始します。msgr2
プロトコルのデフォルト接続モードは crc
です。
Red Hat Ceph Storage クラスターを計画するときは、暗号化のオーバーヘッドを含めるために、クラスターの CPU 要件を必ず考慮してください。
現在、secure
なモードの使用は、Red Hat Enterprise Linux 8.2 上の CephFS や krbd
など、Ceph カーネルクライアントでサポートされています。secure
モードの使用は、OpenStack Nova、Glance、Cinder などの librbd
を使用する Ceph クライアントでサポートされています。
前提条件
- 稼働中の Red Hat Ceph Storage 4 クラスター。
- ファイアウォールで開いている TCP ポート 3300。
- Ceph Monitor ノードへの root レベルのアクセス。
手順
-
Ceph 設定ファイル (デフォルトでは
/etc/ceph/ceph.conf
) を開いて編集します。 [global]
セクションの下に以下が新しい行に追加されます。ms_bind_msgr2 = true
必要に応じて、Ceph デーモン間の有線暗号化を有効にし、Ceph クライアントとデーモン間の有線暗号化を有効にするには、Ceph 設定ファイルの
[global]
セクションに以下のオプションを追加します。[global] ms_cluster_mode=secure ms_service_mode=secure ms_client_mode=secure
- 変更を Ceph 設定ファイルに保存します。
- 更新された Ceph 設定ファイルを Red Hat Ceph Storage クラスターのすべてのノードにコピーします。
msgr2
プロトコルを有効にします。[root@mon ~]# ceph mon enable-msgr2
各 Ceph Monitor ノードで Ceph Monitor サービスを再起動します。
[root@mon ~]# systemctl restart ceph-mon.target
関連情報
-
msgr2
プロトコルに関する詳細は、『Red Hat Ceph Storage アーキテクチャーガイド』を参照してください。