第 3 章 加密和密钥管理

Red Hat Ceph Storage 集群通常位于自己的网络安全区中,特别是在使用私有存储集群网络时使用。

重要

如果攻击者获得公共网络上的 Ceph 客户端访问权限,则安全区分离可能不足以实现保护目的。

有些情况下,需要确保网络流量的保密性或完整性,Red Hat Ceph Storage 使用加密和密钥管理,包括:

  • SSH
  • SSL 终止
  • Transit 中的加密
  • 静止加密(Encryption at Rest)

3.1. SSH

RHCS 集群中的所有节点都使用 SSH 作为部署集群的一部分。这意味着每个节点:

  • Ansible 用户存在免密码 root 特权。
  • SSH 服务已启用,并使端口 22 处于打开状态。
  • 提供 Ansible 用户的公共 SSH 密钥的副本。
重要

任何根据扩展名访问 Ansible 用户的个人,都可以在 RHCS 集群的任意节点上以 root 用户身份操作 CLI 命令。

如需了解更多详细信息,请参阅创建带有 sudo 访问权限的 Ansible 用户为 SSH 启用无密码的 SSH