16.2. 이미지 웹 가져오기 소스 제어

옵션 glance-image-import.conf 파일에 URI 블록리스트 및 허용 목록을 추가하여 웹 가져오기 이미지 다운로드 소스를 제한할 수 있습니다.

다음 세 수준에서 이미지 소스 URI를 허용하거나 차단할 수 있습니다.

  • 스키마 (allowed_schemes, disallowed_schemes)
  • 호스트 (allowed_hosts, disallowed_hosts)
  • 포트 (allowed_ports, disallowed_ports)

모든 수준에서 허용 목록 및 blocklist를 모두 지정하면 허용 목록이 적용되고 블록리스트는 무시됩니다.

이미지 서비스(glance)는 다음 결정 로직을 적용하여 이미지 소스 URI의 유효성을 검사합니다.

  1. 스키마가 선택됩니다.

    1. 누락된 스키마: 거부
    2. 허용 목록이 있고 allowlist: reject에 체계가 없는 경우. 그렇지 않으면 C를 건너뛰고 2로 계속합니다.
    3. blocklist가 있고 체계가 blocklist: reject에 있는 경우.
  2. 호스트 이름이 선택됩니다.

    1. 누락된 호스트 이름: reject
    2. 허용 목록이 있고 allowlist: reject에 호스트 이름이 없는 경우. 그렇지 않으면 C를 건너뛰고 3으로 계속합니다.
    3. blocklist가 있고 blocklist: reject에 호스트 이름이 있는 경우.
  3. URI에 포트가 있는 경우 포트가 확인됩니다.

    1. 허용 목록이 있고 allowlist: reject에 포트가 없는 경우. 그렇지 않으면 B를 건너뛰고 4까지 계속합니다.
    2. blocklist가 있고, 포트가 blocklist: reject에 있는 경우.
  4. URI는 유효한 것으로 허용됩니다.

허용 목록에 포트를 추가하거나 블록 목록에 추가하지 않고 스키마를 허용하면 URI에 포트를 포함하지 않고 해당 스키마에 기본 포트를 사용하는 모든 URI가 허용됩니다. URI에 포트가 포함된 경우 URI는 기본 결정 논리에 따라 검증됩니다.