3.3. Messenger v2 协议

Ceph 的 on-wire 协议 msgr2 的第二个版本具有以下功能：

安全模式通过网络加密所有数据。
身份验证有效负载的封装改进，支持以后集成新的身份验证模式。
功能公告和协商的改进。

Ceph 守护进程绑定到多个端口，允许旧旧 v1- 兼容新的 v2 兼容 Ceph 客户端，以连接同一存储集群。Ceph 客户端或其他 Ceph 守护进程连接到 Ceph Monitor 守护进程将先尝试使用 v2 协议（如果可能），但若不可能，则使用旧的 v1 协议。默认情况下，启用 messenger 协议 v1 和 v2。新的 v2 端口为 3300，旧的 v1 端口默认为 6789。

messenger v2 协议有两个配置选项，用于控制是否使用 v1 还是 v2 协议：

ms_bind_msgr1 - 这个选项控制守护进程是否绑定到 v1 协议的端口，默认为 true。
ms_bind_msgr2 - 这个选项控制守护进程是否绑定到 v2 协议的端口，默认为 true。

同样，两个选项根据使用的 IPv4 和 IPv6 地址进行控制：

ms_bind_ipv4 - 此选项控制守护进程是否绑定到 IPv4 地址；默认为 true。
ms_bind_ipv6 - 这个选项控制守护进程是否绑定到 IPv6 地址，默认为 true。

注意

绑定到多个端口的功能已缩减了双栈 IPv4 和 IPv6 支持的方法。

msgr2 协议支持两种连接模式：

crc
- 当使用 cephx 建立连接时，提供强大的初始身份验证。
- 提供 crc32c 完整性检查，以防止比特反转（bit flipping）攻击。
- 不能提供对恶意的中间人攻击提供保护。
- 不能阻止对认证后的网络流量进行窃听。
secure
- 当使用 cephx 建立连接时，提供强大的初始身份验证。
- 提供所有认证后的网络流量的完全加密。
- 提供加密完整性检查。

默认模式是 crc。

Ceph 对象网关加密

另外，Ceph 对象网关支持使用其 S3 API 与客户提供的密钥进行加密。

重要

为了遵守法规合规性标准要求传输严格的加密，管理员必须通过客户端侧加密部署 Ceph 对象网关。

Ceph 块设备加密

系统管理员使用 dm_crypt 将 Ceph 块设备卷集成为 Red Hat OpenStack Platform 13 必须加密 Ceph 块设备卷，以确保 Ceph 存储集群中的在线加密。

重要

为了遵守法规合规性标准要求传输严格的加密，系统管理员必须使用 dmcrypt 用于 RBD Cinder，以确保 Ceph 存储集群中的在线加密。

3.3. Messenger v2 协议

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links