红帽全球峰会8.6. 共享访问控制
用户可以指定哪些特定客户端有权访问其所创建的共享。由于 keystone 服务,由各个用户创建的共享仅能对同一项目中的用户和其他用户可见。Manila 允许用户创建"公开"可见的共享。如果所有者授予了这些共享,则这些共享在属于其他 OpenStack 项目的用户的仪表板中可见,如果这些共享在网络上可以访问,他们甚至可以挂载这些共享。
在创建共享时,请使用密钥 --public 使您的共享公共用于其他项目,以在共享列表中查看该共享并查看其详细信息。
根据 policy.json 文件,管理员和作为共享所有者的用户可以通过创建访问规则来管理对共享的访问。使用 manila access-allow、manila access-deny 和 manila access-list 命令,您可以相应地授予、拒绝和列出对指定共享的访问。
Manila 不提供对存储系统的端到端管理。您仍需要单独保护后端系统,使其免于未经授权的访问。因此,如果有人危害后端存储设备,manila API 提供的保护仍然可以被绕过,从而导致无法带外访问。
当仅创建共享时,它没有默认的访问规则并挂载它的权限。这可以在挂载配置中用于使用导出协议时看到。例如,在存储中有一个 NFS 命令 exportfs 或 /etc/exports 文件,该文件控制每个远程共享并定义可以访问它的主机。如果 nobody 可以挂载共享,则为空。对于远程 CIFS 服务器,有一个 net conf list 命令,该命令显示了配置。hosts deny 参数应由共享驱动程序设置为 0.0.0.0/0,这意味着任何主机都被拒绝挂载共享。
使用 manila,您可以通过指定其中一个支持的共享访问级别来授予或拒绝对共享的访问:
-
rw- 读写(RW)访问。这是默认值。 -
ro- 仅读取(RO)访问。
当管理员为某些某些编辑器或贡献者提供读和写入(RW)访问权限时,RO 访问级别可能会有帮助,为其余用户(viewers)提供只读(RO)访问权限。
您还必须指定这些支持的验证方法之一:
-
ip- 使用 IP 地址来验证实例。可通过格式良好的 IPv4 或 IPv6 地址或者以 CIDR 表示法表示的子网向客户端提供 IP 访问。 -
cert- 使用 TLS 证书来验证实例。将 TLS 身份指定为IDENTKEY。有效值是证书通用名称(CN)中最多为 64 个字符的任意字符串。 -
User - 通过指定用户名或组名进行身份验证。
有效值是可以包含一些特殊字符的字母数字字符串,长度为 4 到 32 个字符。
支持的身份验证方法取决于您使用的共享驱动程序、安全服务和共享文件系统协议。支持的共享文件系统协议有 MapRFS、CEPHFS、NFS、CIFS、GlusterFS 和 HDFS。支持的安全服务有 LDAP、Kerberos 协议或 Microsoft Active Directory 服务。
要验证共享是否正确配置了访问规则(ACL),您可以列出其权限。
为共享选择安全服务时,您需要考虑共享驱动程序是否可以使用可用的身份验证方法创建访问规则。支持的安全服务有 LDAP、Kerberos 和 Microsoft Active Directory。
