11.4. 프록시 서비스 보안

director는 루트가 아닌 사용자(UID 0) 사용자로 실행되도록 웹 서비스를 구성합니다. 1024 보다 큰 포트 번호를 사용하면 웹 컨테이너의 모든 부분을 root로 실행할 수 없습니다. 일반적으로 HTTP REST API를 사용하고 자동 인증을 수행하는 클라이언트는 인증 응답에서 필요한 전체 REST API URL을 검색합니다. OpenStack REST API를 사용하면 클라이언트가 하나의 URL로 인증한 다음 실제 서비스에 완전히 다른 URL을 사용하도록 리디렉션됩니다. 예를 들어 클라이언트는 https://identity.cloud.example.org:55443/v1/auth 에 인증하고 인증 키 및 스토리지 URL ( 프록시 노드 또는 로드 밸런서의 URL)을 사용하여 응답을 받을 수 있습니다. https://swift.cloud.example.org:44443/v1/AUTH_8980.

Apache 사용 옵션을 사용할 수 없거나 TLS 작업을 오프로드하려는 성능을 위해 전용 네트워크 장치 로드 밸런서를 사용할 수 있습니다. 이는 여러 프록시 노드를 사용할 때 중복성과 로드 밸런싱을 제공하는 일반적인 방법입니다.

TLS를 오프로드하도록 선택하는 경우 네트워크 연결이 로드 밸런서와 프록시 노드 간에 연결되는지 확인하여 네트워크의 다른 노드(sniff)가 암호화되지 않은 트래픽을 중단할 수 없도록 개인(V)LAN 세그먼트에 있는지 확인합니다. 이러한 위반이 발생하는 경우 공격자는 엔드포인트 클라이언트 또는 클라우드 관리자 자격 증명에 액세스하고 클라우드 데이터에 액세스할 수 있습니다.

사용하는 인증 서비스는 끝점 클라이언트에 대한 응답에서 다른 URL을 구성하는 방법을 결정하여 개별 프록시 노드 대신 로드 밸런서를 사용할 수 있습니다.