Red Hat Summit2.8. Red Hat Ceph Storage 방화벽 설정
RHCS(Red Hat Ceph Storage)는 iptables 서비스를 사용합니다.
Monitor 데몬은 Ceph 스토리지 클러스터 내 통신에 포트 6789 를 사용합니다.
각 Ceph OSD 노드에서 OSD 데몬은 6800-7300 범위의 여러 포트를 사용합니다.
- 하나는 클라이언트와 통신하고 공용 네트워크를 통해 모니터링합니다.
- 사용 가능한 경우 클러스터 네트워크를 통해 다른 OSD로 데이터를 전송하는 방법
- 사용 가능한 경우 클러스터 네트워크에서 하트비트 패킷을 교환하는 방법
Ceph Manager(ceph-mgr) 데몬은 6800-7300 범위의 포트를 사용합니다. 동일한 노드에서 Ceph Monitor를 사용하여 ceph-mgr 데몬을 공동 배치하는 것이 좋습니다.
Ceph Metadata Server 노드(ceph-mds)는 6800-7300 범위의 포트를 사용합니다.
Ceph Object Gateway 노드는 기본적으로 포트 8080 을 사용하도록 Ansible에서 구성합니다. 그러나 기본 포트(예: 포트 80 )를 변경할 수 있습니다.
SSL/TLS 서비스를 사용하려면 포트 443 을 엽니다.
사전 요구 사항
- 네트워크 하드웨어가 연결되어 있습니다.
절차
root 사용자로 다음 명령을 실행합니다.
모든 모니터 노드에서 공용 네트워크에서 포트
6789를 엽니다.iptables -I INPUT 1 -i iface -p tcp -s IP_address/netmask_prefix --dport 6789 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
Monitor 노드의 네트워크 주소가 있는 ip
_address입니다. -
CIDR(Classless Inter-domain Routing) 표기법에서 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -p tcp -s 192.168.0.11/24 --dport 6789 -j ACCEPT
모든 OSD 노드에서 공용 네트워크에서 포트
6800-7300을 엽니다.iptables -I INPUT 1 -i iface -m multiport -p tcp -s IP_address/netmask_prefix --dports 6800:7300 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
OSD 노드의 네트워크 주소가 있는 ip
_address. -
CIDR 표기법으로 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -m multiport -p tcp -s 192.168.0.21/24 --dports 6800:7300 -j ACCEPT
모든 Ceph Manager(
ceph-mgr) 노드(일반적으로 Monitor와 동일한 노드)에서 공용 네트워크에서 포트6800-7300을 엽니다.iptables -I INPUT 1 -i iface -m multiport -p tcp -s IP_address/netmask_prefix --dports 6800:7300 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
OSD 노드의 네트워크 주소가 있는 ip
_address. -
CIDR 표기법으로 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -m multiport -p tcp -s 192.168.0.21/24 --dports 6800:7300 -j ACCEPT
모든 Ceph 메타데이터 서버(
ceph-mds) 노드에서 공용 네트워크에서 포트6800을 엽니다.iptables -I INPUT 1 -i iface -m multiport -p tcp -s IP_address/netmask_prefix --dports 6800 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
OSD 노드의 네트워크 주소가 있는 ip
_address. -
CIDR 표기법으로 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -m multiport -p tcp -s 192.168.0.21/24 --dports 6800 -j ACCEPT
모든 Ceph Object Gateway 노드에서 공용 네트워크에서 관련 포트 또는 포트를 엽니다.
기본 Ansible 구성된
8080포트를 엽니다.iptables -I INPUT 1 -i iface -p tcp -s IP_address/netmask_prefix --dport 8080 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
오브젝트 게이트웨이 노드의 네트워크 주소가 있는 ip
_address. -
CIDR 표기법으로 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -p tcp -s 192.168.0.31/24 --dport 8080 -j ACCEPT
선택 사항: Ansible을 사용하여 Ceph Object Gateway를 설치하고 Ansible에서
8080에서 사용하도록 Ceph Object Gateway를 구성하는 기본 포트를 변경된 경우 포트80으로 이 포트를 엽니다.iptables -I INPUT 1 -i iface -p tcp -s IP_address/netmask_prefix --dport 80 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
오브젝트 게이트웨이 노드의 네트워크 주소가 있는 ip
_address. -
CIDR 표기법으로 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -p tcp -s 192.168.0.31/24 --dport 80 -j ACCEPT
선택 사항: SSL/TLS를 사용하려면 포트
443을 엽니다.iptables -I INPUT 1 -i iface -p tcp -s IP_address/netmask_prefix --dport 443 -j ACCEPT
- replace
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
iface합니다. -
오브젝트 게이트웨이 노드의 네트워크 주소가 있는 ip
_address. -
CIDR 표기법으로 넷마스크가 있는 넷마스크
_prefix.
-
public 네트워크의 네트워크 인터페이스 카드 이름과 함께
예제
$ sudo iptables -I INPUT 1 -i enp6s0 -p tcp -s 192.168.0.31/24 --dport 443 -j ACCEPT
스토리지 클러스터의 모든 RHCS 노드에서 영구적으로 변경합니다.
iptables-persistent패키지를 설치합니다.$ sudo apt-get install iptables-persistent
표시되는 터미널 UI에서
yes를 선택하여 현재IPv4 iptables규칙을/etc/iptables/rules.v4파일에 저장하고 현재IPv6 iptables규칙을/etc/iptables/rules.v6파일에 저장합니다.참고iptables-persistent를 설치한 후 새iptables규칙을 추가하는 경우 새규칙을 규칙파일에 추가합니다.$ sudo iptables-save >> /etc/iptables/rules.v4
추가 리소스
- 공용 및 클러스터 네트워크에 대한 자세한 내용은 Red Hat Ceph Storage의 네트워크 구성 확인을 참조하십시오.
