6.2. 기본 CephFS 백엔드 보안

기본 CephFS 백엔드에는 RHOSP(Red Hat OpenStack Platform) 테넌트에 대한 허용 신뢰 모델이 필요합니다. 이 신뢰 모델은 사용자가 OpenStack Platform이 제공하는 서비스 뒤에 있는 인프라에 직접 액세스하는 것을 의도적으로 차단하는 일반 용도의 OpenStack Platform 클라우드에 적합하지 않습니다.

기본 CephFS를 사용하면 사용자 컴퓨팅 인스턴스가 Ceph 서비스 데몬이 노출되는 Ceph 공용 네트워크에 직접 연결됩니다. 사용자 VM에서 실행되는 CephFS 클라이언트는 Ceph 서비스 데몬과 공동으로 상호 작용하며 RADOS와 직접 상호 작용하여 파일 데이터 블록을 읽고 씁니다.

Shared File Systems(manila) 공유 크기를 적용하는 CephFS 할당량은 RHOSP(RHOSP) 사용자가 소유한 VM에서와 같이 클라이언트 측에 적용됩니다. 사용자 VM의 클라이언트 측 소프트웨어가 최신 상태가 아닐 수 있으므로 중요한 클라우드 인프라가 Ceph 서비스 포트를 대상으로 하는 악성 소프트웨어 또는 실수로 유해한 소프트웨어에 취약해질 수 있습니다.

신뢰할 수 있는 사용자가 클라이언트 측 소프트웨어를 최신 상태로 유지하는 환경에서만 백엔드로 기본 CephFS를 배포합니다. Red Hat Ceph Storage 인프라에 영향을 줄 수 있는 소프트웨어가 VM에서 실행되지 않는지 확인합니다.

신뢰할 수 없는 많은 사용자를 제공하는 일반 용도의 RHOSP 배포를 위해 NFS를 통해 CephFS를 배포합니다. NFS를 통해 CephFS를 사용하는 방법에 대한 자세한 내용은 director와 함께 Red Hat Ceph Storage 및 Red Hat OpenStack Platform 배포를 참조하십시오.

사용자는 클라이언트 측 소프트웨어를 최신 상태로 유지할 수 없으며 VM에서 유해한 소프트웨어를 제외하지 못할 수 있지만 CephFS를 NFS를 통해 사용하면 Ceph 인프라 자체가 아닌 NFS 서버의 공용 측면에만 액세스할 수 있습니다. NFS는 동일한 종류의 협업 클라이언트가 필요하지 않으며, 잘못된 경우 사용자 VM의 공격이 Ceph Storage 인프라를 손상시키지 않고 NFS 게이트웨이를 손상시킬 수 있습니다.

기본 CephFS 백엔드를 신뢰할 수 있는 모든 사용자에게 노출할 수 있지만 다음 보안 조치를 취해야 합니다.