8.4. プロキシーサービスのセキュリティー保護
プロキシーノードには、少なくとも 2 つのインターフェース (物理または仮想) が必要です。1 つはパブリック、および 1 つはプライベート。パブリックインターフェースを保護するには、ファイアウォールまたはサービスのバインディングを使用できます。パブリック向けサービスは、エンドポイントのクライアント要求を処理し、認証を行い、適切なアクションを実行する HTTP Web サーバーです。プライベートインターフェースにはリスニングサービスは必要ありませんが、代わりにプライベートストレージネットワーク上のストレージノードへの発信接続を確立するために使用されます。
8.4.1. HTTP リッスンポート
director は、root 以外のユーザー (UID 0 以外) で実行するように Web サービスを設定します。1024
より大きいポート番号を使用すると、Web コンテナーのいずれの部分も root として実行されなくなります。通常、HTTP REST API を使用する (そして自動認証を実行する) クライアントは、認証応答から必要な完全な REST API URL を取得します。OpenStack REST API により、クライアントはある URL に対して認証を行い、実際のサービス用に完全に異なる URL を使用するためにリダイレクトできます。たとえば、クライアントは https://identity.cloud.example.org:55443/v1/auth
に対して認証を行い、認証キーおよび 、https://swift.cloud.example.org:44443/v1/AUTH_8980
のストレージ URL (プロキシーノードまたはロードバランサーの URL) を持つ応答を取得できます。