Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

3.3. 전송 중 암호화

Red Hat Ceph Storage 4 이상부터 네트워크를 통해 모든 Ceph 트래픽의 암호화를 활성화할 수 있습니다. v2의 보안 모드 설정은 Ceph 데몬과 Ceph 클라이언트 간의 통신을 암호화하여 포괄적인 암호화를 제공합니다.

Messenger v2 프로토콜

Ceph의 유선 프로토콜의 두 번째 버전인 msgr2 에는 다음과 같은 몇 가지 새로운 기능이 포함되어 있습니다.

  • 네트워크를 통해 이동하는 모든 데이터를 암호화하는 보안 모드입니다.
  • 인증 페이로드 적용 개선 사항.
  • 광고 및 협상의 개선 사항은 다음과 같습니다.

Ceph 데몬은 여러 포트에 바인드되어 legacy, v1-compatible 및 새로운 v2-compatible, Ceph 클라이언트가 동일한 스토리지 클러스터에 연결할 수 있습니다. Ceph Monitor 데몬에 연결된 Ceph 클라이언트 또는 기타 Ceph 데몬은 가능한 경우 v2 프로토콜을 먼저 사용하려고 하지만 그렇지 않은 경우 레거시 v1 프로토콜을 사용합니다. 기본적으로 v1v2 프로토콜 모두 활성화되어 있습니다. 새로운 v2 포트는 3300이며 레거시 v1 포트는 기본적으로 6789입니다.

msgr2 프로토콜은 다음 두 가지 연결 모드를 지원합니다.

  • crc

    • wget으로 연결을 설정하는 경우 강력한 초기 인증을 제공합니다.
    • 비트 플립으로부터 보호하기 위해 crc32c 무결성 검사를 제공합니다.
    • 악의적인 메시지 가로채기(man-in-the-middle) 공격에 대한 보호를 제공하지 않습니다.
    • 도파이어가 모든 인증 후 트래픽을 볼 수 없도록 하지 않습니다.

  • 보안

    • wget으로 연결을 설정하는 경우 강력한 초기 인증을 제공합니다.
    • 모든 인증 후 트래픽에 대한 전체 암호화를 제공합니다.
    • 암호화 무결성 검사를 제공합니다.

기본 모드는 crc 입니다.

Ceph 오브젝트 게이트웨이 암호화

또한 Ceph 오브젝트 게이트웨이는 S3 API를 사용하여 고객 제공 키로 암호화를 지원합니다.

중요

전송 중 엄격한 암호화가 필요한 규제 준수 표준을 준수하기 위해 관리자는 클라이언트 측 암호화를 사용하여 Ceph Object Gateway를 배포해야 합니다.

Ceph 블록 장치 암호화

Ceph를 Red Hat OpenStack Platform 13의 백엔드로 통합하는 시스템 관리자는 RBD Cinder의 dm_crypt 를 사용하여 Ceph 스토리지 클러스터 내에서 유선 암호화를 보장하도록 Ceph 블록 장치 볼륨을 암호화 해야 합니다.

중요

전송 중 엄격한 암호화가 필요한 규제 준수 표준을 준수하기 위해 시스템 관리자는 RBD Cinder에 dmcrypt 를 사용하여 Ceph 스토리지 클러스터 내에서 유선 암호화를 확인해야 합니다.

추가 리소스

3.3.1. v2 프로토콜을 활성화
링크 복사

Red Hat Ceph Storage 4의 새로운 설치의 경우 v2 프로토콜인 msgr2 는 기본적으로 활성화됩니다. Red Hat Ceph Storage 3 이하의 경우 Ceph 모니터는 레거시 v1 포트 6789 에 바인딩됩니다. 업그레이드 후 msgr2 프로토콜을 활성화하여 새 기능을 활용할 수 있습니다. Ceph 모니터가 msgr2 프로토콜에 바인딩되면 Ceph Monitor 서비스를 다시 시작한 후 v2 주소를 사용하기 시작합니다. msgr2 프로토콜의 기본 연결 모드는 crc입니다.

암호화 오버헤드를 포함하도록 Red Hat Ceph Storage 클러스터를 계획할 때 클러스터 CPU 요구 사항을 고려해야 합니다.

중요

현재 보안 모드 사용은 Red Hat Enterprise Linux 8.2에서 CephFS 및 krbd 와 같은 Ceph 커널 클라이언트에서 지원됩니다. 보안 모드를 사용하는 Ceph 클라이언트에서 OpenStack Nova, Glance, Cinder와 같은 librbd 를 사용할 수 있습니다.

사전 요구 사항

  • 실행 중인 Red Hat Ceph Storage 4 클러스터.
  • 방화벽에서 TCP 포트 3300을 엽니다.
  • Ceph Monitor 노드에 대한 루트 수준 액세스입니다.

절차

  1. 편집을 위해 Ceph 구성 파일(기본적으로 /etc/ceph/ceph.conf )을 엽니다.

  2. [global] 섹션에 다음을 새 줄에 추가했습니다. 

    ms_bind_msgr2 = true

    1. 선택적으로 Ceph 데몬 간의 유선 암호화를 활성화하고 Ceph 클라이언트와 데몬 간의 유선 암호화를 활성화하려면 Ceph 구성 파일의 [global] 섹션에 다음 옵션을 추가합니다. 

      [global]
ms_cluster_mode=secure
ms_service_mode=secure
ms_client_mode=secure
  3. Ceph 구성 파일에 변경 사항을 저장합니다.
  4. 업데이트된 Ceph 구성 파일을 Red Hat Ceph Storage 클러스터의 모든 노드에 복사합니다.

  5. msgr2 프로토콜을 활성화합니다. 

    [root@mon ~]# ceph mon enable-msgr2

  6. 각 Ceph Monitor 노드에서 Ceph Monitor 서비스를 다시 시작합니다. 

    [root@mon ~]# systemctl restart ceph-mon.target
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

Legal Notice

Theme

© 2026 Red Hat맨 위로 이동