17.7. 보안 서비스 관리
보안 서비스는 Active Directory 도메인 또는 Kerberos 도메인과 같은 특정 공유 파일 시스템 프로토콜의 보안 영역을 정의하는 일련의 옵션을 추상화하는 manila 엔티티입니다. 보안 서비스에는 manila가 지정된 도메인에 조인하는 서버를 생성하는 데 필요한 모든 정보가 포함되어 있습니다.
사용자는 API를 사용하여 보안 서비스를 생성, 업데이트, 보기, 삭제할 수 있습니다. Security Services는 다음과 같은 가정에 따라 설계되었습니다.
- 프로젝트는 보안 서비스에 대한 세부 정보를 제공합니다.
- 관리자는 보안 서비스에 대한 관심: 이러한 보안 서비스의 서버 측면을 구성합니다.
-
manila API 내에서
security_service
는share_networks
와 연결됩니다. - 공유 드라이버는 보안 서비스의 데이터를 사용하여 새로 생성된 공유 서버를 구성합니다.
보안 서비스를 생성할 때 다음 인증 서비스 중 하나를 선택할 수 있습니다.
- LDAP - Lightweight Directory Access Protocol IP 네트워크를 통해 분산 디렉터리 정보 서비스에 액세스하고 유지 관리하기 위한 애플리케이션 프로토콜입니다.
- Kerberos - 비보안 네트워크를 통해 통신하는 노드가 안전한 방식으로 서로 신원을 증명할 수 있도록 티켓에 따라 작동하는 네트워크 인증 프로토콜입니다.
- Active Directory - Microsoft가 Windows 도메인 네트워크용으로 개발한 디렉터리 서비스입니다. LDAP, Microsoft 버전의 Kerberos 및 DNS를 사용합니다.
Manila를 사용하면 다음 옵션을 사용하여 보안 서비스를 구성할 수 있습니다.
- 프로젝트 네트워크 내에서 사용되는 DNS IP 주소입니다.
- 보안 서비스의 IP 주소 또는 호스트 이름입니다.
- 보안 서비스의 도메인입니다.
- 프로젝트에서 사용하는 사용자 또는 그룹 이름입니다.
- 사용자 이름을 지정하는 경우 사용자의 암호입니다.
기존 보안 서비스 엔티티는 manila에 공유 그룹의 보안 및 네트워크 구성에 대해 알려주는 공유 네트워크 엔티티와 연결할 수 있습니다. 지정된 공유 네트워크의 모든 보안 서비스 목록을 확인하고 공유 네트워크에서 연결을 해제할 수도 있습니다.
공유 소유자인 관리자와 사용자는 IP 주소, 사용자, 그룹 또는 TLS 인증서를 통해 인증을 사용하여 액세스 규칙을 생성하여 공유에 대한 액세스를 관리할 수 있습니다. 인증 방법은 구성 및 사용하는 공유 드라이버 및 보안 서비스에 따라 다릅니다. 그런 다음 manila 및 keystone 없이 클라이언트와 작동할 수 있는 특정 인증 서비스를 사용하도록 백엔드를 구성할 수 있습니다.
다양한 공유 드라이버에서 다양한 인증 서비스를 지원합니다. 다른 드라이버의 기능 지원에 대한 자세한 내용은 https://docs.openstack.org/manila/latest/admin/share_back_ends_feature_support_mapping.html을 참조하십시오.
드라이버의 특정 인증 서비스에 대한 지원은 공유 파일 시스템 프로토콜로 구성할 수 있음을 의미하지는 않습니다. 지원되는 공유 파일 시스템 프로토콜은 NFS, CEPHFS, CIFS, GlusterFS 및 HDFS입니다. 특정 드라이버 및 보안 서비스에 대한 구성에 대한 정보는 드라이버 공급 업체의 설명서를 참조하십시오.
일부 드라이버는 보안 서비스를 지원하며 다른 드라이버는 위에서 언급한 보안 서비스를 지원하지 않습니다. 예를 들어 NFS를 사용하는 일반 드라이버 또는 CIFS 공유 파일 시스템 프로토콜은 IP 주소를 통한 인증 방법만 지원합니다.
대부분의 경우 CIFS 공유 파일 시스템 프로토콜을 지원하는 드라이버는 Active Directory를 사용하고 사용자 인증을 통해 액세스를 관리하도록 구성할 수 있습니다.
- GlusterFS 프로토콜을 지원하는 드라이버는 TLS 인증서를 사용하여 인증과 함께 사용할 수 있습니다.
- IP 주소를 사용하여 NFS 프로토콜 인증을 지원하는 드라이버는 지원되는 유일한 옵션입니다.
- HDFS 공유 파일 시스템 프로토콜은 NFS 액세스를 사용하므로 IP 주소로 인증하도록 구성할 수도 있습니다.
프로덕션 manila 배포에 권장되는 구성은 CIFS 공유 프로토콜로 공유를 생성하고 이를 Microsoft Active Directory 디렉터리 서비스에 추가하는 것입니다. 이 구성을 사용하면 Kerberos 및 LDAP 접근 방식을 통합하는 중앙 집중식 데이터베이스 및 서비스를 얻을 수 있습니다.