在互联网上运行CEPH集群时,对安全性有什么顾虑吗?
我无法直接找到使其无法用于此用例的东西。我不需要低I/O响应时间,我很好。
谢谢。
当对集群守护进程的授权由cephx处理时,流量是而不是加密的。
所以,是的,有一个安全问题。
CEPH建议您的集群不面向Internet。
我们建议使用两个网络运行Ceph存储集群:一个公共(前端)网络和一个集群(后端)网络。
他们建议将集群放在后端,因为这样可以提高性能(这对您的用例无关紧要),而且安全性:将集群放在后端有助于对抗DoS攻击。
虽然大多数人通常是文明的,但一小部分人喜欢参与所谓的拒绝服务(DoS)攻击。当Ceph OSD守护进程之间的流量中断时,放置组可能不再反映active + clean状态,这可能会阻止用户读写数据。打败这种攻击的一个好方法是保持一个完全独立的集群网络,不直接连接到互联网。
(源)
我最终使用了TincVPN,它很容易设置并使用公钥/私钥,连接我所有的节点。
但正如我被告知的那样,这不是一个很好的用例,但它是有效的,所以meh