第8章 Shared File Systems (Manila) のセキュリティー強化
Shared File Systems サービス (manila) は、マルチプロジェクトのクラウド環境で共有ファイルシステムを管理するためのサービスセットを提供します。これは、OpenStack が Block Storage サービス (cinder) プロジェクトを通じてブロックベースのストレージ管理を提供する方法に似ています。manila を使用すると、共有ファイルシステムを作成し、可視性、アクセシビリティー、使用状況クォータなどの属性を管理できます。
manila についての詳しい情報は、Storage Guide(https://access.redhat.com/documentation/ja-jp/red_hat_openstack_platform/16.0/html-single/storage_guide/) を参照してください。
8.1. manila のセキュリティーに関する考慮事項
Manila は keystone に登録されており、manila endpoints
コマンドを使用して API を特定することができます。以下に例を示します。
$ manila endpoints +-------------+-----------------------------------------+ | manila | Value | +-------------+-----------------------------------------+ | adminURL | http://172.18.198.55:8786/v1/20787a7b...| | region | RegionOne | | publicURL | http://172.18.198.55:8786/v1/20787a7b...| | internalURL | http://172.18.198.55:8786/v1/20787a7b...| | id | 82cc5535aa444632b64585f138cb9b61 | +-------------+-----------------------------------------+ +-------------+-----------------------------------------+ | manilav2 | Value | +-------------+-----------------------------------------+ | adminURL | http://172.18.198.55:8786/v2/20787a7b...| | region | RegionOne | | publicURL | http://172.18.198.55:8786/v2/20787a7b...| | internalURL | http://172.18.198.55:8786/v2/20787a7b...| | id | 2e8591bfcac4405fa7e5dc3fd61a2b85 | +-------------+-----------------------------------------+
デフォルトでは、manila API サービスは、tcp6
のポート 8786
でのみリッスンします。これは、IPv4 と IPv6 の両方をサポートします。
manila は複数の設定ファイルを使用します。これらは /var/lib/config-data/puppet-generated/manila/
に保存されます。
api-paste.ini manila.conf policy.json rootwrap.conf rootwrap.d ./rootwrap.d: share.filters
manila を root 以外のサービスアカウントで実行するように設定し、システム管理者のみが変更できるようにファイルのパーミッションを変更することを推奨します。manila では、管理者のみが設定ファイルに書き込みを行うことができ、サービスは manila
グループのグループメンバーシップを介して読み取りのみを行うことを想定します。サービスアカウントパスワードが含まれるため、他のユーザーがこれらのファイルを読み取り可能であってはいけません。
root ユーザーのみが、rootwrap.conf
の manila-rootwrap
の設定および rootwrap.d/share.filters
の共有ノードの manila-rootwrap
コマンドフィルターに書き込みできる必要があります。