7.6. 存储安全性
块存储服务通过密钥管理器服务(barbican)提供数据安全性。块存储服务使用一对一键,使用由密钥管理器服务管理的密钥进行卷映射。在配置卷类型时定义加密类型。
也可以通过加密控制和/或数据流量(例如使用 Red Hat Ceph Storage)在后端级别提高安全性,这可以通过启用 messengerv2 安全模式来实现。这样,在 Ceph 服务以及 OpenStack 计算节点之间的网络流量会被加密。
您可以在服务和节点级别配置对象和容器安全性。Object Storage 服务(swift)没有为容器和对象提供原生加密。但是,启用了 Key Manager 服务后,对象存储服务可以透明地加密和解密您存储的(at-rest)对象。at-rest 加密与传输中的加密不同,因为它指的是在磁盘上存储过程中加密的对象。
共享文件系统服务(manila)可以通过访问限制(根据实例 IP、用户或组还是 TLS 证书)保护共享。有些共享文件系统服务部署可以独立共享服务器,以管理共享网络和共享之间的关系。某些共享服务器支持,甚至需要其他网络安全性。例如,CIFS 共享服务器需要部署 LDAP、Active Directory 或 Kerberos 身份验证服务。
有些后端也支持加密数据 AT REST。这通过加密后端磁盘本身实现额外的安全性,防止出现物理安全威胁,如失窃或未擦除磁盘。
有关为块存储服务、对象存储服务和共享文件系统服务配置安全选项的更多信息,请参阅配置安全服务。