6.2. 原生 CephFS 后端安全性
原生 CephFS 后端需要在 Red Hat OpenStack Platform(RHOSP)租户中使用 permissive 信任模型。这种信任模型不适用于一般目的 OpenStack Platform 云,它们会故意阻止用户直接访问 OpenStack 平台所提供的服务背后的基础架构。
使用原生 CephFS,用户计算实例会直接连接到公开 Ceph 服务守护进程的 Ceph 公共网络。用户虚拟机上运行的 CephFS 客户端与 Ceph 服务守护进程协同工作,它们直接与 RADOS 交互,以读写文件数据块。
强制实施共享文件系统服务(manila)共享大小的 CephFS 配额在客户端端强制执行,如在(RHOSP)用户拥有的虚拟机上。用户虚拟机上的客户端侧软件可能不是最新的,这可能会使关键云基础架构易受攻击,或者意外地发生以 Ceph 服务端口为目标的软件。
仅在受信任的用户保持客户端软件最新保持客户端软件的环境中,部署原生 CephFS 作为后端。确保没有影响 Red Hat Ceph Storage 基础架构的软件在虚拟机上运行。
为了提供许多不可信用户的 RHOSP 部署,请部署 CephFS-NFS。有关使用 CephFS-NFS 的更多信息,请参阅部署 Red Hat Ceph Storage 和 Red Hat OpenStack Platform 和 director。
用户可能无法使客户端软件保持最新状态,它们可能无法从其虚拟机中排除有害的软件,而是使用 CephFS-NFS,他们只能访问 NFS 服务器的公共端,而不是 Ceph 基础架构本身。NFS 不需要同一类型的合作客户端,在最糟糕的情况下,用户虚拟机的攻击可能会破坏 NFS 网关,而不会损害 Ceph 存储基础架构。
您可以向所有可信用户公开原生 CephFS 后端,但您必须了解以下安全措施:
- 将存储网络配置为提供商网络。
- 提供基于角色的访问控制(RBAC)策略来保护存储供应商网络。
- 创建私有共享类型。