17.8. 액세스 제어 공유
사용자는 생성하는 공유에 액세스할 수 있는 특정 클라이언트를 지정할 수 있습니다. keystone 서비스로 인해 개별 사용자가 생성한 공유는 동일한 프로젝트 내의 자체 및 기타 사용자에게만 표시됩니다. Manila를 사용하면 "공개"가 표시되는 공유를 생성할 수 있습니다. 이러한 공유는 소유자가 액세스 권한을 부여하는 경우 다른 OpenStack 프로젝트에 속하는 사용자의 대시보드에 표시됩니다. 네트워크에서 액세스할 수 있게 되면 이러한 공유를 마운트할 수도 있습니다.
공유를 생성하는 동안 key --public
을 사용하여 다른 프로젝트에서 공유 공개를 공유 목록에서 확인하고 자세한 정보를 확인합니다.
policy.json
파일에 따라 공유 소유자인 관리자와 사용자는 액세스 규칙을 생성하여 공유에 대한 액세스 권한을 관리할 수 있습니다. manila access-allow
,manila access-deny
, manila access-list
명령을 사용하면 지정된 공유에 대한 액세스 권한을 적절하게 부여, 거부 및 나열할 수 있습니다.
Manila는 스토리지 시스템의 엔드 투 엔드 관리를 제공하지 않습니다. 백엔드 시스템을 무단 액세스로부터 별도로 보호해야 합니다. 결과적으로 누군가가 백엔드 스토리지 장치를 손상시키는 경우에도 manila API에서 제공하는 보호 기능을 우회하여 대역 액세스를 확보할 수 있습니다.
공유가 생성되면 해당 공유와 연결된 기본 액세스 규칙과 마운트 권한이 없습니다. 이는 사용 중인 내보내기 프로토콜의 마운트 구성에서 확인할 수 있습니다. 예를 들어 각 원격 공유를 제어하고 액세스할 수 있는 호스트를 정의하는 스토리지에 NFS 명령 exportfs
또는 /etc/exports
파일이 있습니다. 누가 공유를 마운트할 수 없는 경우 비어 있습니다. 원격 CIFS 서버의 경우 설정을 보여주는 net conf list
명령이 있습니다. hosts 거부
매개 변수는 공유 드라이버에서 0.0.0.0/0
으로 설정해야 합니다. 즉, 모든 호스트가 공유 마운트를 거부함을 의미합니다.
manila를 사용하면 지원되는 공유 액세스 수준 중 하나를 지정하여 공유에 대한 액세스 권한을 부여하거나 거부할 수 있습니다.
-
RW
- 읽기 및 쓰기(RW) 액세스. 이는 기본값입니다. -
ro
- 읽기 전용(RO) 액세스.
RO 액세스 수준은 관리자가 일부 특정 편집기 또는 기여자에 대해 읽기 및 쓰기(RW) 액세스를 제공하고 나머지 사용자(viewer)에 대해 읽기 전용(RO) 액세스 권한을 부여하는 경우 공개 공유에 유용할 수 있습니다.
다음과 같은 지원되는 인증 방법 중 하나를 지정해야 합니다.
-
IP
- IP 주소를 사용하여 인스턴스를 인증합니다. CIDR 표기법으로 잘 구성된 IPv4 또는 IPv6 주소 또는 서브넷으로 주소를 지정할 수 있는 클라이언트에 IP 액세스를 제공할 수 있습니다. -
cert
- TLS 인증서를 사용하여 인스턴스를 인증합니다. TLS ID를IDENTKEY
로 지정합니다. 유효한 값은 인증서의 CN(일반 이름)에 있는 최대 64자까지의 문자열입니다. -
user
- 지정된 사용자 또는 그룹 이름으로 인증합니다. 유효한 값은 일부 특수 문자를 포함할 수 있는 영숫자 문자열이며 4~32자 길이입니다.
지원되는 인증 방법은 사용하는 공유 드라이버, 보안 서비스 및 공유 파일 시스템 프로토콜에 따라 달라집니다. 지원되는 공유 파일 시스템 프로토콜은 MapRFS, CEPHFS, NFS, CIFS, GlusterFS 및 HDFS입니다. 지원되는 보안 서비스는 LDAP, Kerberos 프로토콜 또는 Microsoft Active Directory 서비스입니다.
액세스 규칙(ACL)이 공유에 대해 올바르게 구성되었는지 확인하려면 해당 권한을 나열하면 됩니다.
공유에 대한 보안 서비스를 선택할 때 공유 드라이버가 사용 가능한 인증 방법을 사용하여 액세스 규칙을 생성할 수 있는지 여부를 고려해야 합니다. 지원되는 보안 서비스는 LDAP, Kerberos 및 Microsoft Active Directory입니다.