27.3.2.5. 卷安全性
本节涵盖 Red Hat Gluster Storage 卷安全性,包括可移植操作系统接口 [对于 Unix](POSIX)权限和 SELinux 的注意事项。了解 卷安全性、POSIX 权限和 SELinux 的基础知识。
在 OpenShift Container Storage 3.11 中,您必须启用 SSL 加密以确保对持久性卷的安全访问控制。
如需更多信息,请参阅 Red Hat OpenShift Container Storage 3.11 操作指南。
27.3.2.5.1. POSIX 权限
Red Hat Gluster 存储卷提供兼容 POSIX 的文件系统。因此,可以使用 chmod 和 chown 等标准命令行工具来管理访问权限。
对于聚合模式和独立模式,还可指定在卷创建时拥有卷根的组 ID。对于静态置备,这被指定为 heketi-cli 卷创建命令的一部分:
$ heketi-cli volume create --size=100 --gid=10001000
与此卷关联的 PersistentVolume 必须使用组 ID 标注,以便消耗 PersistentVolume 的 pod 能够访问该文件系统。此注解采用以下格式:
pv.beta.kubernetes.io/gid: "<GID>" ---
对于动态置备,置备程序会自动生成并应用组 ID。可以使用 gidMin 和 gidMax StorageClass 参数控制从中选择此组 ID 的范围(请参阅 Dynamic Provisioning)。置备程序还负责使用组 ID 为生成的 PersistentVolume 标注。
