第17章 Shared File System (Manila) のセキュリティー強化
Shared File Systems サービス (manila) は、マルチプロジェクトのクラウド環境で共有ファイルシステムを管理するためのサービスセットを提供します。manila を使用すると、共有ファイルシステムを作成し、可視性、アクセシビリティー、クォータなどの属性を管理できます。
Shared File Systems サービス (マニラ) の詳細は、永続ストレージの設定 ガイドを参照してください。
17.1. manila のセキュリティーに関する考慮事項
Manila は keystone に登録されており、manila endpoints
コマンドを使用して API を特定することができます。以下に例を示します。
$ manila endpoints +-------------+-----------------------------------------+ | manila | Value | +-------------+-----------------------------------------+ | adminURL | http://172.18.198.55:8786/v1/20787a7b...| | region | RegionOne | | publicURL | http://172.18.198.55:8786/v1/20787a7b...| | internalURL | http://172.18.198.55:8786/v1/20787a7b...| | id | 82cc5535aa444632b64585f138cb9b61 | +-------------+-----------------------------------------+ +-------------+-----------------------------------------+ | manilav2 | Value | +-------------+-----------------------------------------+ | adminURL | http://172.18.198.55:8786/v2/20787a7b...| | region | RegionOne | | publicURL | http://172.18.198.55:8786/v2/20787a7b...| | internalURL | http://172.18.198.55:8786/v2/20787a7b...| | id | 2e8591bfcac4405fa7e5dc3fd61a2b85 | +-------------+-----------------------------------------+
デフォルトでは、manila API サービスは、tcp6
のポート 8786
でのみリッスンします。これは、IPv4 と IPv6 の両方をサポートします。
manila は複数の設定ファイルを使用します。これらは /var/lib/config-data/puppet-generated/manila/
に保存されます。
api-paste.ini manila.conf policy.json rootwrap.conf rootwrap.d ./rootwrap.d: share.filters
manila を root 以外のサービスアカウントで実行するように設定し、システム管理者のみが変更できるようにファイルのパーミッションを変更することを推奨します。manila では、管理者のみが設定ファイルに書き込みを行うことができ、サービスは manila
グループのグループメンバーシップを介して読み取りのみを行うことを想定します。サービスアカウントパスワードが含まれるため、他のユーザーがこれらのファイルを読み取り可能であってはいけません。
root ユーザーのみが、rootwrap.conf
の manila-rootwrap
の設定および rootwrap.d/share.filters
の共有ノードの manila-rootwrap
コマンドフィルターに書き込みできる必要があります。