安全

OpenStack 服务支持各种安全方法,包括密码、策略和加密。 此外,支持服务(包括数据库服务器和消息代理)也支持密码安全。

为了简化安装过程,本指南仅涵盖适用的密码安全。 您可以手动创建安全密码,但服务配置文件中的数据库连接字符串无法接受“@”等特殊字符。 我们建议您使用诸如 pwgen 之类的工具生成密码,或者运行以下命令

$ openssl rand -hex 10

对于 OpenStack 服务,本指南使用 SERVICE_PASS 来引用服务帐户密码,并使用 SERVICE_DBPASS 来引用数据库密码。

下表提供了需要密码的服务列表及其在指南中的相关引用。

密码

密码名称

描述

数据库密码(未使用变量)

数据库的 root 密码

ADMIN_PASS

用户 admin 的密码

CINDER_DBPASS

块存储服务的数据库密码

CINDER_PASS

块存储服务用户 cinder 的密码

DASH_DBPASS

仪表板的数据库密码

DEMO_PASS

用户 demo 的密码

GLANCE_DBPASS

镜像服务的数据库密码

GLANCE_PASS

镜像服务用户 glance 的密码

KEYSTONE_DBPASS

身份服务的数据库密码

METADATA_SECRET

元数据代理的密钥

NEUTRON_DBPASS

网络服务的数据库密码

NEUTRON_PASS

网络服务用户 neutron 的密码

NOVA_DBPASS

计算服务的数据库密码

NOVA_PASS

计算服务用户 nova 的密码

PLACEMENT_PASS

Placement 服务用户 placement 的密码

RABBIT_PASS

RabbitMQ 用户 openstack 的密码

OpenStack 和支持服务在安装和运行期间需要管理员权限。 在某些情况下,服务会修改主机,从而干扰部署自动化工具,例如 Ansible 和 Puppet。 例如,某些 OpenStack 服务会将 root wrapper 添加到 sudo,从而干扰安全策略。 有关更多信息,请参阅 Pike 版计算服务文档Queens 版计算服务文档Rocky 版计算服务文档

网络服务假定内核网络参数的默认值并修改防火墙规则。 为了避免在初始安装期间的大多数问题,我们建议在主机上使用受支持发行版的标准部署。 但是,如果您选择自动化主机部署,请在继续操作之前查看应用于它们的配置和策略。