2.3. 连接安全区（Connecting Security Zones）

必须仔细配置跨多个安全区（具有不同信任级别或身份验证要求）的组件。这些连接通常是网络架构的弱点，并且应始终配置为满足所连接任何区域的最高信任级别。在很多情况下，连接的区的安全性控制应该是主要问题，因为攻击的可能性较高。区域满足对于攻击者向部署中更敏感的部分迁移或目标的攻击者提供了机会。

在某些情况下，Red Hat Ceph Storage 管理员可能需要考虑在比集成点所在的任何区域以外的标准安全集成点。例如，Ceph Cluster Security Zone 可以轻松地与其他安全区隔离，因为没有理由将它连接到其他安全区。相反，Storage Access Security Zone 必须提供对 Ceph 监控节点上的 6789 端口的访问，并在 Ceph OSD 节点上提供端口 6800-7300。但是，端口 3000 应该专用于 Storage Access Security 区域，因为它提供了对 Ceph 管理员公开的 Ceph Grafana 监控信息的访问。Ceph 客户端安全区中的 Ceph 对象网关需要访问 Ceph 集群安全性区的监控器（端口 6789）和 OSD（端口 6800-7300），并且可能会将其 S3 和 Swift API 公开给公共安全区，如通过 HTTP 端口 80 或 HTTPS 端口 443 ；但是，它可能需要限制访问 admin API 的访问。

因为 Red Hat Ceph Storage 的设计，分离安全区比较困难。由于核心服务通常至少跨越两个区域，因此在将安全控制应用到它们时，必须考虑特殊考虑。