跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Enterprise Storage 7 文档 / Security Hardening Guide / About this guide
适用范围 SUSE Enterprise Storage 7

About this guide

This guide focuses on how to ensure that your Ceph cluster is secure.

SUSE Enterprise Storage 7 是 SUSE Linux Enterprise Server 15 SP2 的一个扩展。它融合了 Ceph (http://ceph.com/) 存储项目的功能与 SUSE 的企业工程和支持。SUSE Enterprise Storage 7 为 IT 组织提供了部署分布式存储体系结构的能力,该体系结构可支持使用市售硬件平台的许多用例。

1 可用文档

注意
注意:联机文档和最新更新

我们的产品文档可从 https://documentation.suse.com 获取,您也可以在此处找到最新更新,以及浏览或下载各种格式的文档。最新的文档更新以英语版本提供。

此外,您安装的系统的 /usr/share/doc/manual 下会提供产品文档。该文档包含在名为 ses-manual_LANG_CODE的 RPM 包中。如果系统上尚未安装该包,请进行安装,例如:

root # zypper install ses-manual_en

针对本产品提供的文档如下:

部署指南

本指南重点介绍如何部署基本 Ceph 集群以及如何部署其他服务。此外,还介绍了从先前的产品版本升级到 SUSE Enterprise Storage 7 的步骤。

管理和操作指南

本指南重点介绍在部署基本 Ceph 集群(第 2 天操作)之后,作为管理员需要处理的例行任务。此外,还介绍了访问 Ceph 集群中所存储数据的所有支持方法。

安全强化指南

本指南重点介绍如何确保集群的安全。

查错指南

本指南将带您了解运行 SUSE Enterprise Storage 7 时的各种常见问题以及与 Ceph 或对象网关等相关组件有关的其他问题。

SUSE Enterprise Storage for Windows 指南

本指南介绍如何使用 Windows 驱动程序集成、安装和配置 Microsoft Windows 环境和 SUSE Enterprise Storage。

2 提供反馈

欢迎您对此文档提供反馈和贡献。反馈渠道包括:

服务请求和支持

有关产品可用的服务和支持选项,请参见 http://www.suse.com/support/

要创建服务请求,需在 SUSE Customer Center 注册一个 SUSE 订阅。请转到 https://scc.suse.com/support/requests 并登录,然后单击新建

Bug 报告

https://bugzilla.suse.com/ 中报告文档问题。报告问题需要 Bugzilla 帐户。

要简化此过程,可以使用本文档 HTML 版本中的标题旁边的报告文档 Bug 链接。这样,就会在 Bugzilla 中预先选择正确的产品和类别,并添加当前章节的链接。然后,您便可以立即开始键入 Bug 报告。

贡献

要帮助改进本文档,请使用本文档 HTML 版本中的标题旁边的编辑源代码链接。这些链接会将您转到 GitHub 上的源代码,在其中可以创建拉取请求。参与贡献需要 GitHub 帐户。

有关本文档使用的文档环境的详细信息,请参见储存库的 README(网址:https://github.com/SUSE/doc-ses)。

邮件

您也可以将有关本文档中的错误以及相关反馈发送至:<>。请在其中包含文档标题、产品版本和文档发布日期。此外,请包含相关的章节号和标题(或者提供 URL),并提供问题的简要说明。

3 文档约定

本文档中使用了以下通知和排版约定:

  • /etc/passwd:目录名称和文件名

  • PLACEHOLDER:将会使用实际的值替换 PLACEHOLDER

  • PATH:环境变量

  • ls--help:命令、选项和参数

  • user:用户或组的名称

  • package_name:软件包的名称

  • AltAltF1:按键或组合键。按键以大写字母显示,与键盘上的一样。

  • 文件 文件 ›  另存为:菜单项,按钮

  • AMD/Intel 本段仅与 Intel 64/AMD64 体系结构有关。箭头标记文本块的开始位置和结束位置。

    IBM Z, POWER 本段内容仅与 IBM ZPOWER 体系结构相关。箭头标记文本块的开始位置和结束位置。

  • 第 1 章示例章节:到本指南中另一章节的交叉引用。

  • 必须使用 root 特权运行的命令。您往往还可以在这些命令前加上 sudo 命令,以非特权用户身份来运行它们。

    root # command
    tux > sudo command
  • 可以由非特权用户运行的命令。

    tux > command
  • 注意

    警告
    警告:警报通知

    在继续操作之前,您必须了解的不可或缺的信息。向您指出有关安全问题、潜在数据丢失、硬件损害或物理危害的警告。

    重要
    重要:重要通知

    在继续操作之前,您必须了解的重要信息。

    注意
    注意:注意通知

    额外信息,例如有关软件版本差异的信息。

    提示
    提示:提示通知

    有用信息,例如指导方针或实用性建议。

  • 精简通知

    注意

    额外信息,例如有关软件版本差异的信息。

    提示

    有用信息,例如指导方针或实用性建议。

4 产品生命周期和支持

不同的 SUSE 产品有不同的产品生命周期。要查看 SUSE Enterprise Storage 的确切生命周期日期,请参见 https://www.suse.com/lifecycle/

4.1 SUSE 支持定义

有关我们的支持政策和选项的信息,请参见 https://www.suse.com/support/policy.htmlhttps://www.suse.com/support/programs/long-term-service-pack-support.html

4.2 SUSE Enterprise Storage 支持声明

要获得支持,您需要一个适当的 SUSE 订阅。要查看为您提供的具体支持服务,请转到 https://www.suse.com/support/ 并选择您的产品。

支持级别的定义如下:

L1

问题判定,该技术支持级别旨在提供兼容性信息、使用支持、持续维护、信息收集,以及使用可用文档进行基本查错。

L2

问题隔离,该技术支持级别旨在分析数据、重现客户问题、隔离问题领域,并针对级别 1 不能解决的问题提供解决方法,或作为级别 3 的准备级别。

L3

问题解决,该技术支持级别旨在借助工程方法解决级别 2 支持所确定的产品缺陷。

对于签约的客户与合作伙伴,SUSE Enterprise Storage 将为除以下包外的其他所有包提供 L3 支持:

  • 技术预览

  • 声音、图形、字体和作品

  • 需要额外客户合同的包

  • 模块 Workstation Extension 随附的某些包仅享受 L2 支持。

  • 名称以 -devel 结尾的包(包含头文件和类似的开发人员资源)只能同其主包一起接受支持。

SUSE 仅支持使用原始包,即,未发生更改且未重新编译的包。

4.3 技术预览

技术预览是 SUSE 提供的旨在让用户大致体验未来创新的各种包、堆栈或功能。随附这些技术预览只是为了提供方便,让您有机会在自己的环境中测试新的技术。非常希望您能提供反馈!如果您测试了技术预览,请联系 SUSE 代表,将您的体验和用例告知他们。您的反馈对于我们的未来开发非常有帮助。

技术预览存在以下限制:

  • 技术预览仍处于开发阶段。因此,它们的功能可能不完备、不稳定,或者在其他方面适合用于生产。

  • 技术预览受支持。

  • 技术预览可能仅适用于特定的硬件体系结构。

  • 技术预览的细节和功能可能随时会发生变化。因此,可能无法升级到技术预览的后续版本,而只能进行全新安装。

  • 可随时从产品中删除技术预览。SUSE 不承诺未来将提供此类技术的受支持版本。例如,如果 SUSE 发现某个预览不符合客户或市场的需求,或者不符合企业标准,就可能会删除该预览。

有关产品随附的技术预览的概述,请参见 https://www.suse.com/releasenotes/x86_64/SUSE-Enterprise-Storage/7 上的发行说明。

5 Ceph 贡献者

Ceph 项目及其文档是数百个贡献者和组织辛勤工作的成果。有关详细信息,请参见 https://ceph.com/contributors/

6 本指南中使用的命令和命令提示符

作为 Ceph 集群管理员,您需要通过运行特定命令来配置和调整集群行为。您将需要运行以下几种类型的命令:

6.1 与 Salt 相关的命令

这些命令可帮助您部署 Ceph 集群节点、同时在数个(或所有)集群节点上运行命令,或在您添加或删除集群节点时为您提供协助。最常用的命令是 ceph-saltceph-salt config。您需要以 root 身份在 Salt Master 节点上运行 Salt 命令。通过以下提示符来引入这些命令:

root@master # 

例如:

root@master # ceph-salt config ls

6.2 与 Ceph 相关的命令

这些是较低级别的命令,用于在命令行上配置和微调集群及其网关的所有方面,例如 cephcephadmrbdradosgw-admin

要运行与 Ceph 相关的命令,您需要拥有 Ceph 密钥的读取访问权限,而密钥的用户权限则定义您在 Ceph 环境内的权限。一种方案是以 root 身份(或通过 sudo)运行 Ceph 命令,并使用不受限的默认密钥环“ceph.client.admin.key”。

建议您使用更安全的方案,即为每个管理员用户创建限制性更高的单独密钥,并将其存放在用户可读取的目录中,例如:

~/.ceph/ceph.client.USERNAME.keyring
提示
提示:Ceph 密钥的路径

要使用自定义管理员用户和密钥环,每次运行 ceph 命令(使用 -n client.USER_NAME--keyring PATH/TO/KEYRING 选项)时,都需要指定该密钥的用户名和路径。

为避免出现此情况,请将这些选项包含在各个用户的 ~/.bashrc 文件中的 CEPH_ARGS 变量中。

虽然您可以在任何集群节点上运行与 Ceph 相关的命令,但建议您在管理节点上运行这些命令。本文档使用 cephuser 用户来运行命令,因此通过以下提示符来引入命令:

cephuser@adm > 

例如:

cephuser@adm > ceph auth list
提示
提示:特定节点的命令

如果文档指示您在集群节点上以特定角色来运行命令,应通过该提示符来寻址。例如:

cephuser@mon > 

6.2.1 运行 ceph-volume

从 SUSE Enterprise Storage 7 开始,Ceph 服务以容器化方式运行。如果您需要在 OSD 节点上运行 ceph-volume,则需要在其前面追加 cephadm 命令,例如:

cephuser@adm > cephadm ceph-volume simple scan

6.3 一般的 Linux 命令

与 Ceph 无关的 Linux 命令(例如 mountcatopenssl)可通过 cephuser@adm > root # 提示符来引入,具体取决于相关命令所需的特权。

6.4 附加信息

有关 Ceph 密钥管理的详细信息,请参见第 30.2 节 “主要管理”