3.1 安全
2017-08-02 本文已影响0人
坚果的野望
OpenStack 服务支持各种安全方法,包括密码、策略和加密。此外,数据库服务和消息代理也支持密码安全。
为了简化安装过程,本指南只涉及适用的密码安全。您可以手动创建安全密码,但是服务配置文件中的数据库连接字符串不能接受像 “@” 这样的特殊字符。我们建议您使用 pwgen 之类的工具生成它们,或者运行以下命令:
$ openssl rand -hex 10
对于 OpenStack 服务,本指南使用 SERVICE_PASS 作为服务帐户密码,使用 SERVICE_DBPASS 作为数据库密码。
下表提供了在指南中需要密码及其相关引用的服务列表。
Password name | Description |
---|---|
Database password (no variable used) | Root password for the database |
ADMIN_PASS |
Password of user admin
|
CINDER_DBPASS |
Database password for the Block Storage service |
CINDER_PASS |
Password of Block Storage service user cinder
|
DASH_DBPASS |
Database password for the Dashboard |
DEMO_PASS |
Password of user demo
|
GLANCE_DBPASS |
Database password for Image service |
GLANCE_PASS |
Password of Image service user glance
|
KEYSTONE_DBPASS |
Database password of Identity service |
METADATA_SECRET |
Secret for the metadata proxy |
NEUTRON_DBPASS |
Database password for the Networking service |
NEUTRON_PASS |
Password of Networking service user neutron
|
NOVA_DBPASS |
Database password for Compute service |
NOVA_PASS |
Password of Compute service user nova
|
PLACEMENT_PASS |
Password of the Placement service user placement
|
RABBIT_PASS |
Password of user guest of RabbitMQ |
OpenStack 和支持服务在安装和操作过程中需要管理特权。在某些情况下,服务会对主机进行修改,从而干扰部署自动化工具,如 Ansible、Chef 和 Puppet。例如,一些 OpenStack 服务为 sudo 添加了一个 root 包装器,会干扰安全策略。有关更多信息,请参阅 OpenStack 管理员指南。
网络服务假定内核网络参数为默认值,并修改防火墙规则。为了避免在初始安装过程中出现大多数问题,我们建议在主机上使用支持的分布式部署。但是,如果您选择自动部署主机,请在继续进行之前检查应用于它们的配置和策略。