3.3. ECDHE v2 프로토콜

Ceph의 유선 프로토콜인 msgr2 의 두 번째 버전에는 다음과 같은 기능이 있습니다.

  • 보안 모드는 네트워크를 통해 이동하는 모든 데이터를 암호화합니다.
  • 인증 페이로드의 캡슐화를 개선하여 새로운 인증 모드를 향후 통합할 수 있습니다.
  • 광고 및 협상 기능 개선

Ceph 데몬은 여러 포트에 바인드되어 기존 v1-호환 및 새로운 v2 호환 Ceph 클라이언트를 모두 동일한 스토리지 클러스터에 연결할 수 있습니다. Ceph Monitor 데몬에 연결하는 Ceph 클라이언트 또는 기타 Ceph 데몬에서는 먼저 v2 프로토콜을 사용하지만 가능하면 레거시 v1 프로토콜을 사용합니다. 기본적으로, 메시징 프로토콜인 v1v2 가 모두 활성화됩니다. 새로운 v2 포트는 3300이며 레거시 v1 포트는 기본적으로 6789입니다.

동작 v2 프로토콜에는 v1 또는 v2 프로토콜 사용 여부를 제어하는 두 가지 구성 옵션이 있습니다.

  • ms_bind_msgr1 - 이 옵션은 데몬이 v1 프로토콜이라는 포트에 바인딩하는지 여부를 제어합니다. 기본적으로 마찬가지입니다.
  • ms_bind_msgr2 - 이 옵션은 데몬이 v2 프로토콜이라는 포트에 바인딩하는지 여부를 제어합니다. 기본적으로 마찬가지입니다.

마찬가지로, 사용된 IPv4 및 IPv6 주소를 기반으로 두 가지 옵션을 제어합니다.

  • ms_bind_ipv4 - 이 옵션은 데몬이 IPv4 주소에 바인딩하는지 여부를 제어합니다. 기본적으로 true 입니다.
  • ms_bind_ipv6 - 이 옵션은 데몬이 IPv6 주소에 바인딩하는지 여부를 제어합니다. 기본적으로 true 입니다.
참고

여러 포트에 바인딩할 수 있는 기능은 듀얼 스택 IPv4 및 IPv6 지원을 제공합니다.

msgr2 프로토콜은 두 가지 연결 모드를 지원합니다.

  • crc

    • cephx 로 연결이 설정된 경우 강력한 초기 인증을 제공합니다.
    • 비트로부터 보호하기 위해 crc32c 무결성 검사를 제공합니다.
    • 악의적인 man-in-the-middle 공격에 대한 보호 기능을 제공하지 않습니다.
    • eavesdropper가 모든 인증 후 트래픽을 보는 것을 방지하지는 않습니다.
  • 보안

    • cephx 로 연결이 설정된 경우 강력한 초기 인증을 제공합니다.
    • 모든 인증 후 트래픽에 대한 완전한 암호화를 제공합니다.
    • 암호화 무결성 검사를 제공합니다.

기본 모드는 crc 입니다.

Ceph Object Gateway Encryption

또한 Ceph Object Gateway는 S3 API를 사용하여 고객 제공 키로 암호화를 지원합니다.

중요

전송 과정에서 엄격한 암호화가 필요한 규제 준수 표준을 준수하기 위해 관리자는 클라이언트 측 암호화를 사용하여 Ceph Object Gateway를 배포 합니다.

Ceph 블록 장치 암호화

Red Hat OpenStack Platform 13의 백엔드로 Ceph를 통합하는 시스템 관리자는 RBD Cinder에 대해 dm_crypt 를 사용하여 Ceph 블록 장치 볼륨을 암호화하여 Ceph 스토리지 클러스터 내에서 유선 암호화를 보장합니다.

중요

전송 과정에서 엄격한 암호화가 필요한 규제 준수 표준을 준수하기 위해 시스템 관리자는 RBD Cinder에 dmcrypt 를 사용하여 Ceph 스토리지 클러스터 내에서 유선 암호화를 보장합니다.

추가 리소스