2.7. Ceph Monitor ノードのファイアウォール設定
messenger バージョン 2 プロトコルの導入により、ネットワーク上のすべての Ceph トラフィックの暗号化を有効にすることができます。メッセンジャー v2 の secure
モード設定は、Ceph デーモンと Ceph クライアント間の通信を暗号化し、エンドツーエンドの暗号化を提供します。
メッセンジャー v2 プロトコル
Ceph の有線プロトコルの 2 つ目のバージョンである msgr2
には、以下の新機能が含まれています。
- 安全なモードは、ネットワークを介したすべてのデータの移動を暗号化します。
- 認証ペイロードのカプセル化による改善。
- 機能のアドバタイズおよびネゴシエーションの改善。
Ceph デーモンは、レガシー、v1 互換、および新しい v2 互換の Ceph クライアントを同じストレージクラスターに接続することができるように、複数のポートにバインドします。Ceph Monitor デーモンに接続する Ceph クライアントまたはその他の Ceph デーモンは、まず v2
プロトコルの使用を試みますが、可能でない場合は古い v1
プロトコルが使用されます。デフォルトでは、メッセンジャープロトコル v1
と v2
の両方が有効です。新規の v2 ポートは 3300 で、レガシー v1 ポートはデフォルトで 6789 になります。
前提条件
- 稼働中の Red Hat Ceph Storage クラスターがある。
- Ceph ソフトウェアリポジトリーへのアクセス。
- Ceph Monitor ノードへの root レベルのアクセス。
手順
以下の例を使用してルールを追加します。
[root@mon ~]# sudo iptables -A INPUT -i IFACE -p tcp -s IP-ADDRESS/NETMASK --dport 6789 -j ACCEPT [root@mon ~]# sudo iptables -A INPUT -i IFACE -p tcp -s IP-ADDRESS/NETMASK --dport 3300 -j ACCEPT
-
IFACE
は、パブリックネットワークインターフェイス (例:eth0
、eth1
など) に置き換えます。 -
IP-ADDRESS
は、パブリックネットワークの IP アドレスに、NETMASK
は、パブリックネットワークのネットマスクに置き換えます。
-
firewalld
デーモンの場合は、以下のコマンドを実行します。[root@mon ~]# firewall-cmd --zone=public --add-port=6789/tcp [root@mon ~]# firewall-cmd --zone=public --add-port=6789/tcp --permanent [root@mon ~]# firewall-cmd --zone=public --add-port=3300/tcp [root@mon ~]# firewall-cmd --zone=public --add-port=3300/tcp --permanent
関連情報
- 特定のオプションの説明や使用方法は、Ceph のネットワーク設定オプション の Red Hat Ceph Storage ネットワーク設定オプション を参照してください。
- Ceph messenger バージョン 2 プロトコルでの Ceph の伝送時暗号化 の使用に関する詳細は、Red Hat Ceph Storage アーキテクチャーガイドを参照してください。