16.6. 인스턴스 마이그레이션

실시간 마이그레이션 프로세스의 다양한 단계에서 인스턴스 런타임 메모리 및 디스크의 콘텐츠가 네트워크를 통해 일반 텍스트로 전송됩니다. 따라서 실시간 마이그레이션을 사용할 때 해결해야 하는 여러 위험이 있습니다. 다음 완전하지 않은 목록은 이러한 위험 중 일부를 자세히 설명합니다.

현재 OpenStack에서 실시간 마이그레이션은 기본적으로 활성화되어 있습니다. 실시간 마이그레이션은 기본적으로 관리자 전용 작업이므로 사용자는 이 작업을 시작할 수 없으며 관리자만(신뢰할 수 있음) 관리자만 시작할 수 없습니다. nova policy.json 파일에 다음 행을 추가하여 실시간 마이그레이션을 비활성화할 수 있습니다.

"compute_extension:admin_actions:migrate": "!",
"compute_extension:admin_actions:migrateLive": "!",

또는 TCP 포트 49152~49261 을 차단할 때 실시간 마이그레이션이 실패 하거나 nova 사용자가 계산 호스트 간에 암호 없는 SSH 액세스 권한이 없는지 확인할 수 있습니다.

실시간 마이그레이션을 위한 SSH 구성이 상당히 잠겨 있습니다. 새 사용자(nova_migration)가 생성되고 SSH 키는 해당 사용자로 제한되며 허용되는 네트워크에서만 사용할 수 있습니다. 그런 다음 래퍼 스크립트는 실행할 수 있는 명령을 제한합니다(예: libvirt 소켓의 netcat).

실시간 마이그레이션 트래픽은 실행 중인 인스턴스의 디스크 및 메모리를 일반 텍스트로 전송하며 현재 기본적으로 내부 API 네트워크에 호스팅됩니다.

실시간 마이그레이션을 계속 활성화하기 위한 충분한 요구 사항(예: 업그레이드)이 있는 경우 libvirtd는 실시간 마이그레이션에 대해 암호화된 터널을 제공할 수 있습니다. 그러나 이 기능은 OpenStack 대시보드 또는 nova-client 명령에 노출되지 않으며 libvirtd의 수동 구성을 통해서만 액세스할 수 있습니다. 그러면 실시간 마이그레이션 프로세스가 다음과 같은 상위 수준 단계로 변경됩니다.