12.7. 보안 서비스 관리

보안 서비스는 Active Directory 도메인 또는 Kerberos 도메인과 같은 특정 공유 파일 시스템 프로토콜에 대한 보안 영역을 정의하는 옵션 집합을 추상화하는 manila 엔터티입니다. 보안 서비스에는 지정된 도메인을 연결하는 서버를 생성하는 데 필요한 모든 정보가 포함되어 있습니다.

사용자는 API를 사용하여 보안 서비스를 생성, 업데이트, 보기 및 삭제할 수 있습니다. 보안 서비스는 다음과 같은 가정을 기반으로 설계되었습니다.

  • 프로젝트는 보안 서비스에 대한 세부 정보를 제공합니다.
  • 관리자는 보안 서비스에 중점을 두고 이러한 보안 서비스의 서버 측면을 구성합니다.
  • manila API 내부에서 security_serviceshare_networks 와 연결됩니다.
  • 공유 드라이버는 보안 서비스의 데이터를 사용하여 새로 만든 공유 서버를 구성합니다.

보안 서비스를 생성할 때 다음 인증 서비스 중 하나를 선택할 수 있습니다.

  • LDAP - 경량 디렉터리 액세스 프로토콜. IP 네트워크를 통해 분산 디렉터리 정보 서비스에 액세스하고 유지 관리하는 애플리케이션 프로토콜입니다.
  • Kerberos - 안전하지 않은 네트워크를 통해 통신하는 노드가 안전한 방식으로 서로의 ID를 증명할 수 있도록 티켓에 따라 작동하는 네트워크 인증 프로토콜입니다.
  • Active Directory - Microsoft가 Windows 도메인 네트워크용으로 개발한 디렉터리 서비스입니다. 는 LDAP, Microsoft의 Kerberos 버전 및 DNS를 사용합니다.

Manila를 사용하면 다음 옵션을 사용하여 보안 서비스를 구성할 수 있습니다.

  • 프로젝트 네트워크 내에서 사용되는 DNS IP 주소입니다.
  • 보안 서비스의 IP 주소 또는 호스트 이름.
  • 보안 서비스의 도메인입니다.
  • 프로젝트에서 사용하는 사용자 또는 그룹 이름입니다.
  • 사용자 이름을 지정하는 경우 사용자의 암호입니다.

기존 보안 서비스 엔터티는 manila에 공유 그룹의 보안 및 네트워크 구성에 대해 알리는 공유 네트워크 엔터티와 연결할 수 있습니다. 지정된 공유 네트워크의 모든 보안 서비스 목록을 보고 공유 네트워크에서 연결을 끊을 수도 있습니다.

공유 소유자인 관리자 및 사용자는 IP 주소, 사용자, 그룹 또는 TLS 인증서를 통해 인증으로 액세스 규칙을 생성하여 공유에 대한 액세스를 관리할 수 있습니다. 인증 방법은 구성 및 사용 중인 드라이버 및 보안 서비스를 공유하는 데 따라 다릅니다. 그런 다음 manila 및 keystone 없이 클라이언트와 작동할 수 있는 특정 인증 서비스를 사용하도록 백엔드를 구성할 수 있습니다.

참고

다양한 공유 드라이버에서 다양한 인증 서비스를 지원합니다. 다른 드라이버별 기능 지원에 대한 자세한 내용은 https://docs.openstack.org/manila/latest/admin/share_back_ends_feature_support_mapping.html를 참조하십시오.

드라이버의 특정 인증 서비스에 대한 지원은 공유 파일 시스템 프로토콜로 구성할 수 있음을 의미하지는 않습니다. 지원되는 공유 파일 시스템 프로토콜은 NFS, CEPHFS, CIFS, GlusterFS, HDFS입니다. 특정 드라이버 및 보안 서비스 구성에 대한 자세한 내용은 드라이버 벤더의 설명서를 참조하십시오.

일부 드라이버는 보안 서비스를 지원하며 기타 드라이버는 위에서 언급한 보안 서비스를 지원하지 않습니다. 예를 들어 NFS 또는 CIFS 공유 파일 시스템 프로토콜이 있는 일반 드라이버는 IP 주소를 통한 인증 방법만 지원합니다.

참고

대부분의 경우 CIFS 공유 파일 시스템 프로토콜을 지원하는 드라이버는 Active Directory를 사용하고 사용자 인증을 통해 액세스를 관리하도록 구성할 수 있습니다.

  • GlusterFS 프로토콜을 지원하는 드라이버는 TLS 인증서를 사용하여 인증과 함께 사용할 수 있습니다.
  • IP 주소를 사용하여 NFS 프로토콜 인증을 지원하는 드라이버가 유일한 지원되는 옵션입니다.
  • HDFS 공유 파일 시스템 프로토콜은 NFS 액세스를 사용하므로 IP 주소를 사용하여 인증하도록 구성할 수도 있습니다.

프로덕션 manila 배포에 권장되는 구성은 CIFS 공유 프로토콜로 공유를 생성하고 Microsoft Active Directory 디렉터리 서비스에 추가하는 것입니다. 이 구성을 사용하면 중앙 집중식 데이터베이스와 Kerberos 접근 방식을 통합하는 서비스를 받게 됩니다.