2.12. 存储
本节概述存储组件的主要新功能。
- 块存储 - 块存储服务的容器化部署
- 此发行版本中,块存储服务(cinder)的容器化部署现在是默认的。如果您将后端用于具有外部安装依赖项的服务,您必须为部署获取特定于供应商的容器。
- 块存储 - 多后端可用域
-
块存储服务(cinder)现在允许在配置文件的后端部分使用新驱动程序配置选项
backend_availability_zone来定义后端可用域。在以前的版本中,cinder-volume 中配置的后端必须是同一存储可用区的一部分。 - 块存储 - OpenStack Key Manager 支持
- 块存储服务(cinder)现在可以使用 OpenStack Key Manager (barbican)来存储用于卷加密的加密密钥。此功能通过在 director 中配置 OpenStack Key Manager 来启用。具有 Identity Service (keystone)的 admin 或 creator 角色的用户,可以向 OpenStack Key Manager 中添加新密钥。
- Block Storage - RBD 驱动程序加密支持
- RBD 驱动程序现在使用 LUKS 处理块存储服务(cinder)卷加密。此功能为使用块存储服务和计算服务在 RBD 上加密卷的功能,提供 data-at-rest 安全性。使用 RBD 驱动程序加密需要 OpenStack Key Manager (barbican)。RBD 驱动程序加密仅支持块存储服务。
- Image Service - 镜像签名和验证支持
- Image Service (glance)现在通过 OpenStack Key Manager (barbican)提供可引导镜像的签名和签名验证。现在,在存储镜像前会验证镜像签名。您必须将加密签名添加到原始镜像,然后才能将其上传到镜像服务。此签名用于在引导时验证镜像。OpenStack Key Manager 为签名密钥提供关键管理支持。
- Object Storage - At-rest 加密和 OpenStack Key Manager 支持
- Object Storage (swift)服务现在可以使用 AES 以加密形式存储对象,使用存储在 OpenStack Key Manager (barbican)中的 256 位密钥。使用 director 为对象存储启用加密后,系统会创建一个用于加密集群中的所有对象的密钥。这为保护对象并在对象存储集群中保持安全合规性的选项。
- 共享文件系统 - 共享文件系统服务的容器化部署
- 共享文件系统服务(manila)的容器化部署现在是本发行版本中的默认设置。如果您将后端用于具有外部安装依赖项的服务,您必须为部署获取特定于供应商的容器。
- 共享文件系统 - 使用 NetApp ONTAP cDOT 驱动程序的 IPv6 访问规则支持
- 共享文件系统服务(manila)现在支持导出由 NetApp ONTAP 后端通过 IPv6 网络支持的共享。对导出的共享的访问由 IPv6 客户端地址控制。
- 共享文件系统 - 使用 NFS 的 Manila CephFS 存储
- 共享文件系统服务(manila)支持通过 NFSv4 协议挂载 Ceph 文件系统(CephFS)支持的共享文件系统。在 Controller 节点上运行的 NFS-Ganesha 服务器用于将 CephFS 导出到具有高可用性(HA)的租户。租户彼此隔离,只能通过提供的 NFS 网关接口访问 CephFS。此新功能完全集成到 director 中,从而为共享文件系统服务启用 CephFS 后端部署和配置。
