4.3. Block Storage(cinder) 볼륨 이미지 검증


Block Storage 서비스(cinder)는 이미지 생성에서 볼륨을 생성하는 동안 다운로드되고 서명된 이미지의 서명을 자동으로 검증합니다. 이미지가 볼륨에 기록되기 전에 서명이 검증됩니다. 성능을 개선하기 위해 Block Storage Image-Volume 캐시를 사용하여 새 볼륨을 생성하기 위해 검증된 이미지를 저장할 수 있습니다.

참고

Red Hat Ceph Storage 또는 RBD 볼륨에서 Cinder 이미지 서명 검증은 지원되지 않습니다.

절차

  1. 컨트롤러 노드에 로그인합니다.
  2. 다음 옵션 중 하나를 선택합니다.

    • 볼륨 로그 /var/log/containers/cinder/cinder-volume.log 에서 cinder의 이미지 검증 활동을 확인합니다.

      예를 들어 인스턴스가 부팅될 때 다음 항목을 기대할 수 있습니다.

      2018-05-24 12:48:35.256 1 INFO cinder.image.image_utils [req-7c271904-4975-4771-9d26-cbea6c0ade31 b464b2fd2a2140e9a88bbdacf67bdd8c a3db2f2beaee454182c95b646fa7331f - default default] Image signature verification succeeded for image d3396fa0-2ea2-4832-8a77-d36fa3f2ab27
    • openstack volume listcinder volume show 명령을 사용합니다.

      1. openstack volume list 명령을 사용하여 볼륨 ID를 찾습니다.
      2. 컴퓨팅 노드에서 cinder volume show 명령을 실행합니다.

        cinder volume show <VOLUME_ID>
  3. 확인된 행 서명 : True 를 사용하여 volume_image_metadata 섹션을 찾습니다.

    $ cinder show d0db26bb-449d-4111-a59a-6fbb080bb483
    +--------------------------------+-------------------------------------------------+
    | Property                       | Value                                           |
    +--------------------------------+-------------------------------------------------+
    | attached_servers               | []                                              |
    | attachment_ids                 | []                                              |
    | availability_zone              | nova                                            |
    | bootable                       | true                                            |
    | consistencygroup_id            | None                                            |
    | created_at                     | 2018-10-12T19:04:41.000000                      |
    | description                    | None                                            |
    | encrypted                      | True                                            |
    | id                             | d0db26bb-449d-4111-a59a-6fbb080bb483            |
    | metadata                       |                                                 |
    | migration_status               | None                                            |
    | multiattach                    | False                                           |
    | name                           | None                                            |
    | os-vol-host-attr:host          | centstack.localdomain@nfs#nfs                   |
    | os-vol-mig-status-attr:migstat | None                                            |
    | os-vol-mig-status-attr:name_id | None                                            |
    | os-vol-tenant-attr:tenant_id   | 1a081dd2505547f5a8bb1a230f2295f4                |
    | replication_status             | None                                            |
    | size                           | 1                                               |
    | snapshot_id                    | None                                            |
    | source_volid                   | None                                            |
    | status                         | available                                       |
    | updated_at                     | 2018-10-12T19:05:13.000000                      |
    | user_id                        | ad9fe430b3a6416f908c79e4de3bfa98                |
    | volume_image_metadata          | checksum : f8ab98ff5e73ebab884d80c9dc9c7290     |
    |                                | container_format : bare                         |
    |                                | disk_format : qcow2                             |
    |                                | image_id : 154d4d4b-12bf-41dc-b7c4-35e5a6a3482a |
    |                                | image_name : cirros-0.3.5-x86_64-disk           |
    |                                | min_disk : 0                                    |
    |                                | min_ram : 0                                     |
    |                                | signature_verified : False                      |
    |                                | size : 13267968                                 |
    | volume_type                    | nfs                                             |
    +--------------------------------+-------------------------------------------------+
참고

스냅샷은 Image 서비스(glance) 이미지로 저장됩니다. 서명된 이미지를 확인하도록 Compute 서비스(nova)를 구성하는 경우 Glance에서 이미지를 수동으로 다운로드하고 이미지에 서명한 다음 이미지를 다시 업로드해야 합니다. 이는 스냅샷이 서명된 이미지로 생성된 인스턴스인지 아니면 서명된 이미지에서 생성된 볼륨에서 부팅되었는지 여부입니다.

참고

볼륨은 Image 서비스(glance) 이미지로 업로드할 수 있습니다. 원본 볼륨을 부팅할 수 있는 경우 이미지를 사용하여 Block Storage 서비스(cinder)에 부팅 가능한 볼륨을 생성할 수 있습니다. 서명된 이미지를 확인하도록 Block Storage 서비스를 구성한 경우 Glance에서 이미지를 수동으로 다운로드하고 이미지를 사용하기 전에 이미지 서명을 계산하고 모든 적절한 이미지 서명 속성을 업데이트해야 합니다. 자세한 내용은 4.5절. “스냅샷 검증”의 내용을 참조하십시오.

4.3.1. 볼륨 이미지 암호화 키 자동 삭제

Block Storage 서비스(cinder)는 암호화된 볼륨을 Image 서비스(glance)에 업로드할 때 키 관리 서비스(barbican)에 암호화 키를 생성합니다. 이렇게 하면 암호화 키와 저장된 이미지 간에 1:1 관계가 생성됩니다.

암호화 키를 삭제하면 키 관리 서비스의 리소스가 무제한으로 사용되지 않습니다. 블록 스토리지, 키 관리 및 이미지 서비스는 키 삭제를 포함하여 암호화된 볼륨의 키를 자동으로 관리합니다.

블록 스토리지 서비스는 볼륨 이미지에 두 개의 속성을 자동으로 추가합니다.

  • cinder_encryption_key_id - 키 관리 서비스에서 특정 이미지에 저장하는 암호화 키의 식별자입니다.
  • cinder_encryption_key_deletion_policy - 이미지 서비스에 이 이미지와 연결된 키를 삭제할지 여부를 알리는 정책입니다.
중요

이러한 속성의 값은 자동으로 할당됩니다. 의도하지 않은 데이터 손실을 방지하려면 이러한 값을 조정하지 마십시오.

볼륨 이미지를 생성할 때 Block Storage 서비스는 cinder_encryption_key_deletion_policy 속성을 on_image_deletion 으로 설정합니다. 볼륨 이미지를 삭제하면 cinder_encryption_key_deletion_policyon_image_deletion 과 같은 경우 이미지 서비스에서 해당 암호화 키를 삭제합니다.

중요

Red Hat은 cinder_encryption_key_id 또는 cinder_encryption_key_deletion_policy 속성을 수동으로 조작하는 것을 권장하지 않습니다. 다른 목적으로 cinder_encryption_key_id 값으로 식별되는 암호화 키를 사용하는 경우 데이터 손실 위험이 있습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.