4.4.2.6. NFS に使用される NAS デバイスが強化された環境で動作していることを確認します
ブロックストレージサービス (cinder) は、従来のブロックストレージドライバーとは異なる動作をする NFS ドライバーをサポートします。
NFS ドライバーは、インスタンスがブロックレベルでストレージデバイスにアクセスすることを実際には許可しません。代わりに、ファイルは NFS 共有上に作成され、ブロックデバイスをエミュレートするインスタンスにマップされます。
Block Storage サービスは、cinder ボリュームの作成時にファイルのアクセス許可を制御することにより、このようなファイルの安全な構成をサポートします。Cinder 構成では、ファイル操作を root ユーザーとして実行するか、現在の Red Hat OpenStack Platform プロセスユーザーとして実行するかを制御することもできます。
director のさまざまな heat パラメーターにより、NFS バックエンドまたは NetApp NFS Block Storage バックエンドが NetApp 機能 (NAS secure と呼ばれる) をサポートするかどうかが制御されます。
- CinderNetappNasSecureFileOperations
- CinderNetappNasSecureFilePermissions
- CinderNasSecureFileOperations
- CinderNasSecureFilePermissions
通常のボリューム操作に干渉するため、Red Hat では、この機能を有効にすることを推奨していません。director はデフォルトでこの機能を無効にするため、Red Hat OpenStack Platform はこの機能をサポートしません。
ベンダー固有のドライバーを使用して Block Storage サービスに統合された NAS デバイスは、機密性が高いと見なされ、強化された分離された環境にデプロイする必要があります。これらのデバイスに違反すると、インスタンスデータへのアクセスまたは変更につながる可能性があります。
cinder.confファイルの[DEFAULT]セクションのnas_secure_file_permissionsの値がautoに設定されているかどうかを確認します。nas_secure_file_permissionsパラメーターがautoに設定されている場合、起動時に、Block Storage サービスは既存の cinder ボリュームがあるかどうかを検出します。-
既存のボリュームがない場合、cinder はオプションを
Trueに設定し、安全なファイル権限を使用します。 -
cinder が既存のボリュームを検出した場合、cinder はオプションを
Falseに設定し、ファイルのアクセス許可を処理する安全でない方法を使用します。
-
既存のボリュームがない場合、cinder はオプションを
cinder.confファイルの[DEFAULT]セクションのnas_secure_file_operationsパラメーターがautoに設定されているかどうかを確認します。nas_secure_file_operationsパラメーターがautoに設定されている場合、起動時に、Block Storage サービスは既存のシンダーボリュームがあるかどうかを検出します。-
既存のボリュームがない場合、cinder はオプションを
Trueに設定し、root ユーザーとして実行しません。 -
cinder が既存のボリュームを検出した場合、cinder はオプションを
Falseに設定し、rootユーザーとして操作を実行する現在の方法を使用します。
-
既存のボリュームがない場合、cinder はオプションを
新規インストールの場合、Block Storage サービスはマーカーファイルを作成し、その後の再起動時に Block Storage サービスが元の決定を記憶するようにします。
