7.7. CephFS-NFS 的网络隔离
为安全起见,在使用 CephFS-NFS 时将 NFS 流量隔离到单独的网络,以便 NFS 服务器只能通过隔离的网络访问。Deployers 可以将隔离网络限制为云中选定的一组项目。Red Hat OpenStack (RHOSP) director 提供了部署专用 StorageNFS 网络的支持。
在部署 overcloud 以启用 CephFS-NFS 以用于共享文件系统服务前,您必须创建以下内容:
-
用于 NFS 流量的隔离网络,称为
StorageNFS - 隔离网络上的虚拟 IP (VIP)
- 使用 StorageNFS 网络配置节点的 Controller 节点的自定义角色
有关创建隔离网络、VIP 和自定义角色的更多信息,请参阅使用 director 安装和管理 Red Hat OpenStack Platform 中的 配置 overcloud 网络。
重要
可以省略为 NFS 流量创建隔离网络。但是,如果您在具有不受信任的客户端的生产部署中省略 StorageNFS 网络,则 director 可以在任何共享的、非隔离网络上(如外部网络)连接 Ceph NFS 服务器。共享网络通常可路由到云中的所有用户专用网络。当以这种方式通过路由网络访问 NFS 服务器时,您无法通过应用客户端 IP 访问规则来控制对共享文件系统服务共享的访问。用户必须允许使用通用 0.0.0.0/0 IP 访问其共享。由于是通用的 IP,可以发现导出路径的任何人都可以挂载共享。
