2.8. Ceph Monitor 노드의 방화벽 설정
네트워크에서 모든 Ceph 트래픽에 대한 암호화를 활성화할 수 있으며, 버전 2 프로토콜이 도입되었습니다. v2의 보안 모드 설정은 Ceph 데몬과 Ceph 클라이언트 간의 통신을 암호화하여 포괄적인 암호화를 제공합니다.
collectd v2 프로토콜
Ceph의 온프레미스 프로토콜인 msgr2 의 두 번째 버전에는 다음과 같은 몇 가지 새로운 기능이 포함되어 있습니다.
- 보안 모드는 네트워크를 통해 이동하는 모든 데이터를 암호화합니다.
- 인증 페이로드 캡슐화 개선.
- 광고 및 협상 기능 개선.
Ceph 데몬은 레거시, v1- 호환 및 새로운 v2 호환 Ceph 클라이언트가 동일한 스토리지 클러스터에 연결할 수 있도록 여러 포트에 바인딩됩니다. Ceph Monitor 데몬에 연결되는 Ceph 클라이언트 또는 기타 Ceph 데몬은 가능한 경우 v2 프로토콜을 먼저 사용하려고 하지만 그렇지 않은 경우 레거시 v1 프로토콜을 사용합니다. 기본적으로 v1 및 v 2 프로토콜 모두 활성화됩니다. 새 v2 포트는 3300이고 레거시 v1 포트는 기본적으로 6789입니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph 소프트웨어 리포지토리에 액세스할 수 있습니다.
- Ceph 모니터 노드에 대한 루트 수준 액세스.
절차
다음 예제를 사용하여 규칙을 추가합니다.
[root@mon ~]# sudo iptables -A INPUT -i IFACE -p tcp -s IP-ADDRESS/NETMASK --dport 6789 -j ACCEPT [root@mon ~]# sudo iptables -A INPUT -i IFACE -p tcp -s IP-ADDRESS/NETMASK --dport 3300 -j ACCEPT
-
IFACE를 공용 네트워크 인터페이스(예:eth0,eth1등)로 바꿉니다. -
IP-ADDRESS를 공용 네트워크의 IP 주소로 바꾸고NETMASK를 공용 네트워크의 넷마스크로 바꿉니다.
-
firewalld데몬의 경우 다음 명령을 실행합니다.[root@mon ~]# firewall-cmd --zone=public --add-port=6789/tcp [root@mon ~]# firewall-cmd --zone=public --add-port=6789/tcp --permanent [root@mon ~]# firewall-cmd --zone=public --add-port=3300/tcp [root@mon ~]# firewall-cmd --zone=public --add-port=3300/tcp --permanent
