
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 4, 2015 at 5:10 AM, Danny Al-Gaaf <span dir="ltr"><<a href="mailto:danny.al-gaaf@bisect.de" target="_blank">danny.al-gaaf@bisect.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Am 03.03.2015 um 19:31 schrieb Deepak Shetty:<br>

[...]<br>

<span class="">>> For us security is very critical, as the performance is too. The<br>

>> first solution via ganesha is not what we prefer (to use CephFS<br>

>> via p9 and NFS would not perform that well I guess). The second<br>

>> solution, to use CephFS directly to the VM would be a bad<br>

>> solution from the security point of view since we can't expose<br>

>> the Ceph public network directly to the VMs to prevent all the<br>

>> security issues we discussed already.<br>

>><br>

><br>

> Is there any place the security issues are captured for the case<br>

> where VMs access CephFS directly ?<br>

<br>

</span>No there isn't any place and this is the issue for us.<br>

<span class=""><br>

> I was curious to understand. IIUC Neutron provides private and<br>

> public networks and for VMs to access external CephFS network, the<br>

> tenant private network needs to be bridged/routed to the external<br>

> provider network and there are ways neturon achives it.<br>

><br>

> Are you saying that this approach of neutron is insecure ?<br>

<br>

</span>I don't say neutron itself is insecure.<br>

<br>

The problem is: we don't want any VM to get access to the ceph public<br>

network at all since this would mean access to all MON, OSDs and MDS<br>

daemons.<br>

<br>

If a tenant VM has access to the ceph public net, which is needed to<br>

use/mount native cephfs in this VM, one critical issue would be: the<br>

client can attack any ceph component via this network. Maybe I misses<br>

something, but routing doesn't change this fact.<br></blockquote><div><br></div><div>Agree, but there are ways you can restrict the tenant VMs to specific network ports<br></div><div>only using neutron security groups and limit what tenant VM can do. On the <br></div><div>CephFS side one can use selinux labels to provide addnl level of security for<br></div><div>Ceph daemons, where in only certain process can access/modify them, I am <br></div><div>just thinking aloud here, i m not sure how well cephfs works with selinux combined.<br><br></div><div>Thinking more, it seems like then you need a solution that goes via the serviceVM<br></div><div>approach but provide native CephFS mounts instead of NFS ?<br><br></div><div>thanx,<br></div><div>deepak<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span class="HOEnZb"><font color="#888888"><br>

Danny<br>

<br>

<br>

<br>

</font></span></blockquote></div><br></div></div>