Red Hat Summit2장. 기본 드라이버가 있는 CephFS
CephFS 기본 드라이버는 OpenStack Shared File Systems 서비스(manila)와 Red Hat Ceph Storage를 결합합니다. RHOSP(Red Hat OpenStack) director를 사용하는 경우 컨트롤러 노드는 관리자, 메타데이터 서버(MDS), 모니터(MON) 및 공유 파일 시스템 서비스와 같은 Ceph 데몬을 호스팅합니다.
계산 노드는 하나 이상의 프로젝트를 호스팅할 수 있습니다. 다음 그래픽에 표시된 프로젝트(구 테넌트)에는 두 개의 NIC가 있는 회색 상자로 표시되는 사용자 관리 VM이 포함되어 있습니다. ceph 및 manila 데몬 프로젝트에 액세스하려면 공용 Ceph 스토리지 네트워크를 통해 데몬에 연결합니다. 이 네트워크에서 Ceph OSD(오브젝트 스토리지 데몬)에서 제공하는 스토리지 노드의 데이터에 액세스할 수 있습니다. 프로젝트 부팅 시 호스팅되는 인스턴스(VM)는 두 개의 NIC(스토리지 프로바이더 네트워크 전용)와 외부 프로바이더 네트워크의 프로젝트 소유 라우터 전용입니다.
스토리지 프로바이더 네트워크는 프로젝트에서 실행되는 VM을 공용 Ceph 스토리지 네트워크에 연결합니다. Ceph 공용 네트워크는 Ceph 오브젝트 스토리지 노드, 메타데이터 서버(MDS) 및 컨트롤러 노드에 대한 백엔드 액세스를 제공합니다.
기본 드라이버를 사용하여 CephFS는 클라이언트 및 서버와 협력하여 할당량을 적용하고 프로젝트 격리를 보장하며 보안을 보장합니다. 기본 드라이버를 사용하는 CephFS는 신뢰할 수 있는 최종 사용자가 프라이빗 클라우드에 있는 환경에서 원활하게 작동합니다. 이 구성을 사용하려면 사용자 제어 하에서 실행되고 있는 소프트웨어가 올바르게 작동해야 합니다.
2.1. 보안 고려 사항
기본 CephFS 백엔드에는 OpenStack Platform 테넌트에 대한 허용 신뢰 모델이 필요합니다. 이러한 신뢰 모델은 사용자가 OpenStack Platform에서 제공하는 서비스 뒤의 인프라에 직접 액세스할 수 없도록 의도적으로 차단하는 일반적인 OpenStack Platform 클라우드에 적합하지 않습니다.
기본 CephFS를 사용하면 공유 영역에 액세스하려면 사용자 컴퓨팅 인스턴스(VM)를 Ceph 공용 네트워크에 직접 연결해야 합니다. Ceph 인프라 서비스 데몬은 사용자 VM에 노출되는 Ceph 공용 네트워크에 배포됩니다. 사용자 VM에서 실행되는 CephFS 클라이언트는 Ceph 서비스 데몬과 협업하여 RADOS와 직접 상호 작용하여 파일 데이터 블록을 읽고 씁니다.
Shared File Systems(manila) 공유 크기를 적용하는 CephFS 할당량은 RHOSP(Red Hat OpenStack Platform) 사용자가 소유한 VM과 같이 클라이언트측에 적용됩니다. 사용자 VM의 클라이언트 측 소프트웨어 버전이 최신 상태가 아닐 수 있으므로 중요한 클라우드 인프라가 Ceph 서비스 포트를 대상으로 하는 악의적이거나 의도치 않게 해로운 소프트웨어에 취약해질 수 있습니다.
이러한 이유로 기본 CephFS를 신뢰할 수 있는 사용자가 최신 버전의 클라이언트 측 소프트웨어를 유지 관리하는 환경에서만 배포할 것을 권장합니다. 또한 사용자는 Ceph Storage 인프라에 영향을 줄 수 있는 VM에서 소프트웨어가 실행되지 않도록 해야 합니다.
신뢰할 수 없는 많은 사용자를 제공하는 일반적인 목적으로 RHOSP 배포의 경우 NFS를 통해 CephFS를 배포하는 것이 좋습니다. NFS를 통한 CephFS 사용에 대한 자세한 내용은 NFS 를 통해 CephFS를 사용하여 공유 파일 시스템 서비스 배포를 참조하십시오.
사용자는 클라이언트 측 소프트웨어를 최신 상태로 유지하지 못할 수 있으며 VM에서 해로운 소프트웨어를 제외하지 못할 수 있지만, NFS를 통해 CephFS를 사용하면 사용자는 Ceph 인프라 자체가 아닌 NFS 서버의 공용 측면만 액세스할 수 있습니다. NFS는 동일한 종류의 협업 클라이언트를 필요로 하지 않으며, 최악의 경우 사용자 VM 공격이 Ceph Storage 인프라를 손상시키지 않고 NFS 게이트웨이를 손상시킬 수 있습니다.
Red Hat은 다음과 같은 보안 조치를 권장합니다.
- 스토리지 네트워크를 프로바이더 네트워크로 구성합니다.
- 역할 기반 액세스 제어(RBAC) 정책을 적용하여 스토리지 프로바이더 네트워크를 보호합니다.
- 기본 CephFS 백엔드에 대한 개인 공유 유형을 생성하고 신뢰할 수 있는 테넌트에만 노출합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}