12.8. 공유 액세스 제어
사용자는 생성한 공유에 대한 액세스 권한이 있는 특정 클라이언트를 지정할 수 있습니다. keystone 서비스로 인해 개별 사용자가 생성한 공유는 동일한 프로젝트 내의 자체 및 기타 사용자에게만 표시됩니다. Manila를 사용하면 사용자가 표시되는 "공개로" 공유를 만들 수 있습니다. 이러한 공유는 소유자가 액세스 권한을 부여하는 경우 다른 OpenStack 프로젝트에 속하는 사용자의 대시보드에 표시됩니다. 네트워크에서 액세스할 수 있게 되면 이러한 공유를 마운트할 수도 있습니다.
공유를 생성하는 동안, --public 키를 사용하여 다른 프로젝트에서 공유 목록에서 이를 확인하고 자세한 정보를 볼 수 있도록 공개합니다.
policy.json 파일에 따라, 관리자 및 공유 소유자인 사용자는 액세스 규칙을 생성하는 방법으로 공유에 대한 액세스를 관리할 수 있습니다. manila access-allow,manila access-deny 및 manila access-list 명령을 사용하여 지정된 공유에 대한 액세스 권한을 부여, 거부 및 나열할 수 있습니다.
Manila는 스토리지 시스템의 포괄적인 관리를 제공하지 않습니다. 백엔드 시스템을 권한 없는 액세스로부터 별도로 보호해야 합니다. 결과적으로 백엔드 스토리지 장치를 손상시켜 대역 액세스에서 얻을 수 있는 경우 manila API에서 제공하는 보호 조치를 피할 수 있습니다.
공유가 방금 생성되면 연결된 기본 액세스 규칙과 마운트 권한이 없습니다. 이는 내보내기 프로토콜이 사용 중인 구성을 마운트할 때 볼 수 있습니다. 예를 들어 스토리지에는 각 원격 공유를 제어하고 액세스할 수 있는 호스트를 정의하는 NFS 명령 exportfs 또는 /etc/exports 파일이 있습니다. 공유를 마운트할 수 없는 경우 비어 있습니다. 원격 CIFS 서버의 경우 설정을 표시하는 net conf list 명령이 있습니다. hosts deny 매개 변수는 공유 드라이버에서 0.0.0.0/0 으로 설정해야 합니다. 즉, 공유를 마운트하기 위해 모든 호스트가 거부됩니다.
manila를 사용하면 지원되는 공유 액세스 수준 중 하나를 지정하여 공유에 대한 액세스 권한을 부여하거나 거부할 수 있습니다.
-
RW- RW(읽기 및 쓰기) 액세스. 이는 기본값입니다. -
ro- 읽기 전용(RO) 액세스.
RO 액세스 수준은 관리자가 일부 특정 편집기 또는 기여자에게 RW(읽기 및 쓰기) 액세스 권한을 제공하고 나머지 사용자(뷰어)에 대해 읽기 전용(RO) 액세스 권한을 부여하는 경우 공용 공유에서 유용할 수 있습니다.
또한 지원되는 인증 방법 중 하나를 지정해야 합니다.
-
IP- IP 주소를 사용하여 인스턴스를 인증합니다. IP 액세스는 CIDR 표기법으로 표시되는 잘 구성된 IPv4 또는 IPv6 주소 또는 서브넷으로 주소 지정 가능한 클라이언트에 제공할 수 있습니다. -
인증서- TLS 인증서를 사용하여 인스턴스를 인증합니다. TLS ID를IDENTKEY로 지정합니다. 유효한 값은 인증서의 CN(일반 이름)에서 최대 64자까지 문자열입니다. -
user- 지정된 사용자 또는 그룹 이름으로 인증합니다. 유효한 값은 일부 특수 문자를 포함할 수 있으며 4~32자 길이의 영숫자 문자열입니다.
지원되는 인증 방법은 사용하는 드라이버, 보안 서비스 및 공유 파일 시스템 프로토콜을 공유하는 데 따라 다릅니다. 지원되는 공유 파일 시스템 프로토콜은 MapRFS, CEPHFS, NFS, CIFS, GlusterFS, HDFS입니다. 지원되는 보안 서비스는 LDAP, Kerberos 프로토콜 또는 Microsoft Active Directory 서비스입니다.
공유에 대한 액세스 규칙(ACL)이 올바르게 구성되었는지 확인하려면 해당 권한을 나열할 수 있습니다.
공유에 대한 보안 서비스를 선택할 때 공유 드라이버가 사용 가능한 인증 방법을 사용하여 액세스 규칙을 만들 수 있는지 확인해야 합니다. 지원되는 보안 서비스는 LDAP, Kerberos, Microsoft Active Directory입니다.
