6.2. ネイティブ CephFS バックエンドセキュリティー
ネイティブ CephFS バックエンドには、Red Hat OpenStack Platform (RHOSP) テナントに許容信頼モデルが必要です。この信頼モデルは、OpenStack Platform が提供するサービスの背後にあるインフラストラクチャーにユーザーが直接アクセスするのを意図的にブロックする汎用の OpenStack Platform クラウドには適切ではありません。
ネイティブ CephFS を使用する場合、ユーザーコンピュートインスタンスは Ceph サービスのデーモンが公開される Ceph パブリックネットワークに直接接続されます。ユーザー仮想マシンで実行される CephFS クライアントは Ceph サービスデーモンと連携し、ファイルデータブロックの読み取りおよび書き込みのために RADOS と直接対話します。
Shared File Systems (manila) 共有サイズを適用する CephFS クォータは、(RHOSP) ユーザーが所有する VM などのクライアント側で適用されます。ユーザー仮想マシンのクライアント側ソフトウェアは最新ではない可能性があるため、重要なクラウドインフラストラクチャーが Ceph サービスポートをターゲットにする悪意のあるまたは意図的ではないが有害なソフトウェアに対して脆弱になる可能性があります。
信頼できるユーザーがクライアント側ソフトウェアを最新の状態に維持する環境でのみ、ネイティブ CephFS をバックエンドとしてデプロイします。Red Hat Ceph Storage インフラストラクチャーに影響を与える可能性があるソフトウェアが VM で実行されないようにしてください。
多くの信頼されていないユーザーにサービスを提供する汎用の RHOSP デプロイメントの場合は、CephFS-NFS をデプロイします。CephFS-NFS の使用に関する詳細は、director を使用した Red Hat Ceph Storage および Red Hat OpenStack Platform のデプロイ を参照してください。
ユーザーがクライアント側のソフトウェアを最新版に維持できない、また仮想マシンから有害なソフトウェアを除外できない状況でも、CephFS-NFS を使用すると、ユーザーは NFS サーバーの公開側にだけアクセスでき、Ceph インフラストラクチャー自体にはアクセスできません。NFS は、同じ種類の協調クライアントを必要としないため、最悪の場合は、ユーザー VM からの攻撃によって、背後にある Ceph Storage インフラストラクチャーに損傷を与えずに、NFS ゲートウェイに損傷を与える可能性があります。
ネイティブ CephFS バックエンドを信頼できる全ユーザーに公開できますが、以下のセキュリティー対策を実施する必要があります。
- ストレージネットワークをプロバイダーネットワークとして設定する。
- ロールベースのアクセス制御 (RBAC) ポリシーを適用して、Storage プロバイダーネットワークのセキュリティーを保護する。
- プライベートファイル共有種別を作成します。