3.2. 이미지 웹-가져오기 소스 제어
URI 블록 목록을 추가하고 선택적 glance-image-import.conf
파일에 web-import 이미지 다운로드 소스를 제한할 수 있습니다.
세 가지 수준에서 이미지 소스 URI를 허용하거나 차단할 수 있습니다.
- 스키마(allowed_schemes, disallowed_schemes)
- host (allowed_hosts, disallowed_hosts)
- 포트(allowed_ports, disallowed_ports)
모든 수준에서 allowlist와 blocklist를 둘 다 지정하면 허용 목록이 지원되고 blocklist는 무시됩니다.
Image 서비스(glance)는 다음 결정 논리를 적용하여 이미지 소스 URI의 유효성을 검사합니다.
스키마가 확인됩니다.
- 누락된 스키마: reject
- 허용 목록이 있고 스키마가 allowlist: reject에 존재하지 않는 경우입니다. 그렇지 않으면 C를 건너뛰고 2로 계속합니다.
- blocklist가 있고 스키마가 blocklist: reject에 있는 경우입니다.
호스트 이름을 확인합니다.
- 누락된 호스트 이름: reject
- 허용 목록이 있고 allowlist: reject에 호스트 이름이 없습니다. 그렇지 않으면 C를 건너뛰고 3으로 계속 진행합니다.
- blocklist가 있고 호스트 이름이 blocklist: reject에 있습니다.
URI에 포트가 있으면 포트가 확인됩니다.
- 허용 목록이 있고 포트가 allowlist: reject에 존재하지 않는 경우입니다. 그렇지 않으면 B를 건너뛰고 4로 계속합니다.
- blocklist가 있고 포트가 blocklist: reject에 있습니다.
- URI가 유효한 것으로 허용됩니다.
허용 목록에 추가하거나 블록 목록에 추가하지 않고 스키마를 허용하면 URI에 포트를 포함하지 않고 해당 구성 요소에 기본 포트를 사용하는 모든 URI가 허용됩니다. URI에 포트가 포함된 경우 기본 의사 결정 논리에 따라 URI의 유효성을 검사합니다.