5.3. ネットワークサービスの強化
システム管理者は、Red Hat Enterprise Linux 8 Server に Red Hat Ceph Storage クラスターをデプロイします。SELinux はデフォルトでオンになっており、ファイアウォールは SSH サービスポート 22 以外の受信トラフィックをすべてブロックします。ただし、その他の承認されていないポートが開いたり不要なサービスが有効にならないようにするため、これが当てはまるようにする 必要 があります。
各サーバーノードで、以下を実行します。
firewalldサービスを起動し、システムの起動時に実行できるようにし、実行していることを確認します。# systemctl enable firewalld # systemctl start firewalld # systemctl status firewalld
開いているすべてのポートのインベントリーを取得します。
# firewall-cmd --list-all
新規インストールでは、
sources:セクションを空白にし、ポートが特別に開いていないことを示します。servicesセクションは、SSHサービス (およびポート22) およびdhcpv6-clientが有効になっていることを示します。sources: services: ssh dhcpv6-client
SELinux が実行され、
Enforcingであることを確認します。# getenforce Enforcing
SELinux が
Permissiveの場合は、Enforcingに設定します。# setenforce 1
SELinux が実行されていない場合は有効にします。Red Hat Customer Portal にある、ご使用の OS バージョンの Red Hat Enterprise Linux の製品ドキュメント 内の 基本システム設定の設定 ガイド内の セキュリティー強化ガイド 内の SELinux の使用ガイド を参照してください。
各 Ceph デーモンは 1 つ以上のポートを使用して、Red Hat Ceph Storage クラスターの他のデーモンと通信します。場合によっては、デフォルトのポート設定を変更することができます。通常、管理者は Ceph Object Gateway または ceph-radosgw デーモンのデフォルトのポートのみを変更します。
表5.1 Ceph ポート
| TCP/UDP ポート | デーモン | 設定オプション |
|---|---|---|
|
|
|
|
|
|
| 該当なし |
|
|
|
|
|
|
|
|
|
|
| 該当なし |
Ceph Storage クラスターのデーモンには、ceph-mon、ceph-mgr、および ceph-osd が含まれます。これらのデーモンとそのホストは、Ceph クラスターのセキュリティーゾーンで設定されます。このゾーンは、強化目的で独自のサブネットを使用する必要があります。
Ceph クライアントには、ceph-radosgw、ceph-mds、ceph-fuse、libcephfs、rbd、librbd、および librados が含まれます。これらのデーモンとそのホストは、強化目的で独自のサブネットを使用するストレージアクセスのセキュリティーゾーンで設定されます。
Ceph Storage Cluster ゾーンのホストでは、Ceph クライアントを実行しているホストのみが Ceph Storage Cluster デーモンに接続できるようにすることを検討してください。以下に例を示します。
# firewall-cmd --zone=<zone-name> --add-rich-rule="rule family="ipv4" \ source address="<ip-address>/<netmask>" port protocol="tcp" \ port="<port-number>" accept"
<zone-name> をゾーン名に、<ipaddress> を IP アドレスに、<netmask> を CIDR 表記のサブネットマスクに、<port-number> をポート番号または範囲に置き換えます。--permanent フラグを使用してプロセスを繰り返し、再起動後も変更が維持されるようにします。以下に例を示します。
# firewall-cmd --zone=<zone-name> --add-rich-rule="rule family="ipv4" \ source address="<ip-address>/<netmask>" port protocol="tcp" \ port="<port-number>" accept" --permanent