第 3 章 加密和密钥管理
Red Hat Ceph Storage 集群通常位于自己的网络安全区中,特别是在使用私有存储集群网络时使用。
重要
如果攻击者获得公共网络上的 Ceph 客户端访问权限,则安全区分离可能不足以实现保护目的。
有些情况下,需要确保网络流量的保密性或完整性,Red Hat Ceph Storage 使用加密和密钥管理,包括:
- SSH
- SSL 终止
- Transit 中的加密
- 静止加密(Encryption at Rest)
3.1. SSH
RHCS 集群中的所有节点都使用 SSH 作为部署集群的一部分。这意味着每个节点:
- Ansible 用户存在免密码 root 特权。
- SSH 服务已启用,并使端口 22 处于打开状态。
- 提供 Ansible 用户的公共 SSH 密钥的副本。
重要
任何根据扩展名访问 Ansible 用户的个人,都可以在 RHCS 集群的任意节点上以 root 用户身份操作 CLI 命令。
如需了解更多详细信息,请参阅创建带有 sudo
访问权限的 Ansible 用户和为 SSH 启用无密码的 SSH