第 3 章 加密和密钥管理

Red Hat Ceph Storage 集群通常位于自己的网络安全区中,特别是在使用私有存储集群网络时使用。

重要

如果攻击者获得公共网络上的 Ceph 客户端访问权限,则安全区分离可能不足以实现保护目的。

有些情况下,需要确保网络流量的保密性或完整性,Red Hat Ceph Storage 使用加密和密钥管理,包括:

  • SSH
  • SSL 终止
  • Messenger v2 协议
  • Transit 中的加密
  • 静止加密(Encryption at Rest)
  • 密钥轮转

3.1. SSH

Red Hat Ceph Storage 集群中的所有节点都使用 SSH 作为部署集群的一部分。这意味着每个节点:

  • cephadm 用户具有无密码的 root 特权。
  • SSH 服务已启用,并使端口 22 处于打开状态。
  • cephadm 用户的公共 SSH 密钥的一个副本。
重要

任何有权访问 cephadm 用户的人都可以扩展,可以在 Red Hat Ceph Storage 集群内的任何节点上以 root 身份运行命令。

其它资源

  • 如需更多信息,请参阅 Red Hat Ceph Storage 安装指南中的 cephadm 如何工作 部分。