第 17 章 强化共享文件系统(Manila)
共享文件系统服务(manila)提供一组服务,用于在多项目云环境中管理共享文件系统。通过 manila,您可以创建一个共享文件系统并管理其属性,如可见性、可访问性和配额。
有关共享文件系统服务(manila)的更多信息,请参阅 配置持久性存储 指南。
17.1. manila 的安全注意事项
Manila 通过 keystone 注册,允许您使用 manila 端点 命令查找 API。例如:
$ manila endpoints +-------------+-----------------------------------------+ | manila | Value | +-------------+-----------------------------------------+ | adminURL | http://172.18.198.55:8786/v1/20787a7b...| | region | RegionOne | | publicURL | http://172.18.198.55:8786/v1/20787a7b...| | internalURL | http://172.18.198.55:8786/v1/20787a7b...| | id | 82cc5535aa444632b64585f138cb9b61 | +-------------+-----------------------------------------+ +-------------+-----------------------------------------+ | manilav2 | Value | +-------------+-----------------------------------------+ | adminURL | http://172.18.198.55:8786/v2/20787a7b...| | region | RegionOne | | publicURL | http://172.18.198.55:8786/v2/20787a7b...| | internalURL | http://172.18.198.55:8786/v2/20787a7b...| | id | 2e8591bfcac4405fa7e5dc3fd61a2b85 | +-------------+-----------------------------------------+
默认情况下,manila API 服务只侦听端口 8786 中的 tcp6,它支持 IPv4 和 IPv6。
Manila 使用多个配置文件;这些文件存储在 /var/lib/config-data/puppet-generated/manila/ 中:
api-paste.ini manila.conf policy.json rootwrap.conf rootwrap.d ./rootwrap.d: share.filters
建议您将 manila 配置为在非 root 服务帐户下运行,并更改文件权限,以便只有系统管理员才能修改它们。Manila 期望只有管理员才能写入配置文件,服务只能通过 manila 组中的组成员资格读取它们。其他用户不得读取这些文件,因为它们包含服务帐户密码。
注意
只有 root 用户应该可以写入 rootwrap.conf 中的 manila-rootwrap 配置,manila-rootwrap 命令会过滤 rootwrap.d/share.filters 中的共享节点。
