2.8. Ceph 监控节点的防火墙设置
您可以通过引入 messenger 版本 2 协议,通过网络启用所有 Ceph 流量的加密。me
senger v2 的安全模式设置加密 Ceph 守护进程和 Ceph 客户端之间的通信,从而为您提供端到端加密。
messenger v2 协议
Ceph on-wire 协议 msgr2
的第二个版本包括几个新功能:
- 安全模式可以加密通过网络移动的所有数据。
- 身份验证有效负载的封装改进。
- 功能公告和协商的改进。
Ceph 守护进程绑定到多个端口,允许旧旧 v1- 兼容新的 v2 兼容 Ceph 客户端,以连接同一存储集群。Ceph 客户端或其他 Ceph 守护进程连接到 Ceph Monitor 守护进程将先尝试使用 v2
协议(如果可能),但若不可能,则使用旧的 v1
协议。默认情况下,启用 messenger 协议 v1
和 v2
。新的 v2 端口为 3300,旧的 v1 端口默认为 6789。
先决条件
- 一个正在运行的 Red Hat Ceph Storage 集群。
- 访问 Ceph 软件存储库。
- Ceph 监控节点的根级别访问权限.
流程
使用以下示例添加规则:
[root@mon ~]# sudo iptables -A INPUT -i IFACE -p tcp -s IP-ADDRESS/NETMASK --dport 6789 -j ACCEPT [root@mon ~]# sudo iptables -A INPUT -i IFACE -p tcp -s IP-ADDRESS/NETMASK --dport 3300 -j ACCEPT
-
将
IFACE
替换为公共网络接口(如eth0
、eth1
等等)。 -
将
IP-ADDRESS
替换为公共网络的 IP 地址,将NETMASK
替换为公共网络的子网掩码。
-
将
对于
firewalld
守护进程,执行以下命令:[root@mon ~]# firewall-cmd --zone=public --add-port=6789/tcp [root@mon ~]# firewall-cmd --zone=public --add-port=6789/tcp --permanent [root@mon ~]# firewall-cmd --zone=public --add-port=3300/tcp [root@mon ~]# firewall-cmd --zone=public --add-port=3300/tcp --permanent