6.2. 原生 CephFS 后端安全性
原生 CephFS 后端需要在 Red Hat OpenStack Platform(RHOSP)租户中使用 permissive 信任模型。这种信任模型不适用于一般目的 OpenStack Platform 云,它们会故意阻止用户直接访问 OpenStack 平台所提供的服务背后的基础架构。
使用原生 CephFS,用户计算实例会直接连接到公开 Ceph 服务守护进程的 Ceph 公共网络。用户虚拟机上运行的 CephFS 客户端与 Ceph 服务守护进程协同工作,它们直接与 RADOS 交互,以读写文件数据块。
强制实施共享文件系统服务(manila)共享大小的 CephFS 配额在客户端端强制执行,例如在(RHOSP)用户拥有的虚拟机上。用户虚拟机上的客户端侧软件可能不是最新的,这可能会使关键云基础架构易受攻击,或者意外地发生以 Ceph 服务端口为目标的软件。
仅在受信任的用户保持客户端软件最新保持客户端软件的环境中,部署原生 CephFS 作为后端。确保虚拟机上运行的 Red Hat Ceph Storage 基础架构没有任何影响的软件。
对于服务许多不受信任的用户的一般目的 RHOSP 部署,请通过 NFS 部署 CephFS。有关通过 NFS 使用 CephFS 的更多信息,请参阅将 Red Hat Ceph Storage 和 Red Hat OpenStack Platform 与 director 一起部署。
用户可能不会保持客户端侧软件是最新的,它们可能无法从虚拟机中排除害软件,但通过 NFS 使用 CephFS,他们只能访问 NFS 服务器的公共端,而不是 Ceph 基础架构本身。NFS 不需要同一类型的协作客户端,在最糟糕的情况下,用户虚拟机的攻击可能会损坏 NFS 网关,而不会损害 Ceph Storage 基础架构。
您可以向所有可信用户公开原生 CephFS 后端,但您必须了解以下安全措施:
- 将存储网络配置为提供商网络。
- 提供基于角色的访问控制(RBAC)策略来保护存储供应商网络。
- 创建私有共享类型。