7.7. CephFS-NFS のネットワーク分離
CephFS-NFS を使用する場合は、セキュリティーを確保するために、分離されたネットワーク経由でのみ NFS サーバーにアクセスできるように、NFS トラフィックを別のネットワークに分離します。デプロイ担当者は、分離されたネットワークをクラウド内の選択したプロジェクトグループに制限できます。Red Hat OpenStack (RHOSP) director には、専用の StorageNFS ネットワークをデプロイするためのサポートが付属しています。
オーバークラウドをデプロイして CephFS-NFS を Shared File Systems サービスで使用できるようにするには、以下を作成する必要があります。
-
StorageNFS
と呼ばれる、NFS トラフィック用の分離されたネットワーク - 分離されたネットワーク上の仮想 IP (VIP)
- StorageNFS ネットワークでノードを設定するコントローラーノードのカスタムロール
分離されたネットワーク、仮想 IP、カスタムロールの作成の詳細は、director を使用した Red Hat OpenStack Platform のインストールと管理 の オーバークラウドネットワークの設定 を参照してください。
NFS トラフィック用の分離ネットワークの作成は、省略することもできます。ただし、信頼できないクライアントが存在する実稼働環境用のデプロイメントで StorageNFS ネットワークを省略した場合、外部ネットワークなどの分離されていない共有ネットワーク上の Ceph NFS サーバーに director が接続できるようになります。共有ネットワークは、通常、クラウド内のすべてのユーザープライベートネットワークにルーティングできます。この方法でルーティングされたネットワークを介して NFS サーバーがアクセスされる場合、クライアント IP アクセスルールを適用して Shared File Systems サービス共有へのアクセスを制御することはできません。ユーザーは、汎用 0.0.0.0/0
IP を使用して共有へのアクセスを許可する必要があります。一般的な IP のため、エクスポートパスを見つけた人は誰でも共有をマウントできます。