5.3. ネットワークサービスの強化
システム管理者は、Red Hat Enterprise Linux 7 Server に Red Hat Ceph Storage クラスターをデプロイします。SELinux はデフォルトでオンになっており、ファイアウォールは SSH サービスポート 22
以外の受信トラフィックをすべてブロックします。ただし、その他の承認されていないポートが開いたり不要なサービスが有効にならないようにするため、これが当てはまるようにする 必要 があります。
各サーバーノードで、以下を実行します。
firewalld
サービスを起動し、システムの起動時に実行できるようにし、実行していることを確認します。# systemctl enable firewalld # systemctl start firewalld # systemctl status firewalld
開いているすべてのポートのインベントリーを取得します。
# firewall-cmd --list-all
新規インストールでは、
sources:
セクションを空白にし、ポートが特別に開いていないことを示します。services
セクションは、SSH
サービス (およびポート22
) およびdhcpv6-client
が有効になっていることを示します。sources: services: ssh dhcpv6-client
SELinux が実行され、
Enforcing
であることを確認します。# getenforce Enforcing
SELinux が
Permissive
の場合は、Enforcing
に設定します。# setenforce 1
SELinux が実行されていない場合は有効にします。詳細は『Red Hat Enterprise Linux 7 SELinux ユーザーおよび管理ガイド』を参照してください。
各 Ceph デーモンは 1 つ以上のポートを使用して、Red Hat Ceph Storage クラスターの他のデーモンと通信します。場合によっては、デフォルトのポート設定を変更することができます。通常、管理者は Ceph Object Gateway または ceph-radosgw
デーモンのデフォルトのポートのみを変更します。『オブジェクトゲートウェイの設定および管理ガイド』のChanging the CivetWeb portを参照してください。
ポート | デーモン | 設定オプション |
---|---|---|
|
|
|
|
| 該当なし |
|
|
|
|
|
|
|
| 該当なし |
Ceph Storage クラスターのデーモンには、ceph-mon
、ceph-mgr
、および ceph-osd
が含まれます。これらのデーモンとそのホストは、Ceph クラスターのセキュリティーゾーンで構成されます。このゾーンは、強化目的で独自のサブネットを使用する必要があります。
Ceph クライアントには、ceph-radosgw
、ceph-mds
、ceph-fuse
、libcephfs
、rbd
、librbd
、および librados
が含まれます。これらのデーモンとそのホストは、強化目的で独自のサブネットを使用するストレージアクセスのセキュリティゾーンで構成されます。
Ceph Storage Cluster ゾーンのホストでは、Ceph クライアントを実行しているホストのみが Ceph Storage Cluster デーモンに接続できるようにすることを検討してください。以下に例を示します。
# firewall-cmd --zone=<zone-name> --add-rich-rule="rule family="ipv4" \ source address="<ip-address>/<netmask>" port protocol="tcp" \ port="<port-number>" accept"
<zone-name>
をゾーン名に置き換えます。<ipaddress>
を IP アドレスに置き換え、<netmask>
を CIDR 表記のサブネットマスクに置き換えます。<port-number>
をポート番号または範囲に置き換えます。--permanent
フラグを使用してプロセスを繰り返し、再起動後も変更が維持されるようにします。以下に例を示します。
# firewall-cmd --zone=<zone-name> --add-rich-rule="rule family="ipv4" \ source address="<ip-address>/<netmask>" port protocol="tcp" \ port="<port-number>" accept" --permanent
特定の手順は、『Red Hat Ceph Storage インストールガイド』の「ファイアウォール」セクションを参照してください。