4.4.2.6. NFS に使用される NAS デバイスが強化された環境で動作していることを確認します
ブロックストレージサービス (cinder) は、従来のブロックストレージドライバーとは異なる動作をする NFS ドライバーをサポートします。
NFS ドライバーは、インスタンスがブロックレベルでストレージデバイスにアクセスすることを実際には許可しません。代わりに、ファイルは NFS 共有上に作成され、ブロックデバイスをエミュレートするインスタンスにマップされます。
Block Storage サービスは、cinder ボリュームの作成時にファイルのアクセス許可を制御することにより、このようなファイルの安全な構成をサポートします。Cinder 構成では、ファイル操作を root
ユーザーとして実行するか、現在の Red Hat OpenStack Platform プロセスユーザーとして実行するかを制御することもできます。
director のさまざまな heat パラメーターにより、NFS バックエンドまたは NetApp NFS Block Storage バックエンドが NetApp 機能 (NAS secure と呼ばれる) をサポートするかどうかが制御されます。
- CinderNetappNasSecureFileOperations
- CinderNetappNasSecureFilePermissions
- CinderNasSecureFileOperations
- CinderNasSecureFilePermissions
通常のボリューム操作に干渉するため、Red Hat では、この機能を有効にすることを推奨していません。director はデフォルトでこの機能を無効にするため、Red Hat OpenStack Platform はこの機能をサポートしません。
ベンダー固有のドライバーを使用して Block Storage サービスに統合された NAS デバイスは、機密性が高いと見なされ、強化された分離された環境にデプロイする必要があります。これらのデバイスに違反すると、インスタンスデータへのアクセスまたは変更につながる可能性があります。
cinder.conf
ファイルの[DEFAULT]
セクションのnas_secure_file_permissions
の値がauto
に設定されているかどうかを確認します。nas_secure_file_permissions
パラメーターがauto
に設定されている場合、起動時に、Block Storage サービスは既存の cinder ボリュームがあるかどうかを検出します。-
既存のボリュームがない場合、cinder はオプションを
True
に設定し、安全なファイル権限を使用します。 -
cinder が既存のボリュームを検出した場合、cinder はオプションを
False
に設定し、ファイルのアクセス許可を処理する安全でない方法を使用します。
-
既存のボリュームがない場合、cinder はオプションを
cinder.conf
ファイルの[DEFAULT]
セクションのnas_secure_file_operations
パラメーターがauto
に設定されているかどうかを確認します。nas_secure_file_operations
パラメーターがauto
に設定されている場合、起動時に、Block Storage サービスは既存のシンダーボリュームがあるかどうかを検出します。-
既存のボリュームがない場合、cinder はオプションを
True
に設定し、root ユーザーとして実行しません。 -
cinder が既存のボリュームを検出した場合、cinder はオプションを
False
に設定し、root
ユーザーとして操作を実行する現在の方法を使用します。
-
既存のボリュームがない場合、cinder はオプションを
新規インストールの場合、Block Storage サービスはマーカーファイルを作成し、その後の再起動時に Block Storage サービスが元の決定を記憶するようにします。