【发布时间】:2016-09-30 18:11:38
【问题描述】:
在 Internet 上运行 CEPH 集群时是否存在安全问题?
我无法直接找到使其无法用于此用例的东西。我不需要低 I/O 响应时间,我可以接受。
谢谢各位。
【问题讨论】:
标签: ceph
【发布时间】:2016-09-30 18:11:38
【问题描述】:
虽然集群守护程序的身份验证由 cephx 处理,但流量是未加密的。
所以是的,存在安全问题。
【讨论】:
CEPH 建议您的集群不要面向 Internet。
我们建议使用两个网络运行 Ceph 存储集群:公共(前端)网络和集群(后端)网络。
他们建议将您的集群放在后端,因为它可以提高性能(这对您的用例来说并不重要),而且安全:将它放在后端有助于抵御 DoS 攻击。
虽然大多数人通常是文明人,但只有极少数人喜欢参与所谓的拒绝服务 (DoS) 攻击。当 Ceph OSD 守护进程之间的流量中断时,归置组可能不再反映活动 + 清洁状态,这可能会阻止用户读取和写入数据。击败此类攻击的一个好方法是维护一个不直接连接到互联网的完全独立的集群网络。
(Source)
【讨论】:
我最终使用了 TincVPN,它易于设置并使用公钥/私钥连接我的所有节点。
但正如我被告知的那样,这不是一个好的用例,但它确实有效,所以嗯。
【讨论】: