启用 HTTPS¶
在 Swift 中启用 HTTPS¶
使用虚拟媒体的驱动程序使用 Swift 存储启动镜像和节点配置信息(包含 Ironic conductor 配置裸机硬件所需的敏感信息)。默认情况下,Swift 中未启用 HTTPS。HTTPS 需要加密 Swift 与 Ironic conductor 之间以及 Swift 与裸机(通过虚拟媒体)之间的所有通信。可以通过以下方式之一启用它
使用 Swift 中的原生 SSL 支持(Swift 仅推荐用于测试目的)。
在 Image 服务中启用 HTTPS¶
Ironic 驱动程序通常在节点配置期间使用 Image 服务。默认情况下,Image 服务不使用 HTTPS,但它需要用于安全通信。可以通过对 /etc/glance/glance-api.conf 进行以下更改来启用它
重启 glance-api 服务
Fedora/RHEL/CentOS: sudo systemctl restart openstack-glance-api Debian/Ubuntu: sudo service glance-api restart
有关 Image 服务的更多详细信息,请参阅 Glance 文档。
启用 Image 服务和对象存储之间的 HTTPS 通信¶
本节描述了在将对象存储用作后端时,启用 Image 服务和对象存储之间安全 HTTPS 通信所需的步骤。
要启用 Image 服务和对象存储之间的安全 HTTPS 通信,请执行以下步骤
启用 Image 服务和裸机服务之间的 HTTPS 通信¶
本节描述了启用 Image 服务和裸机服务之间安全 HTTPS 通信所需的步骤。
要启用裸机服务和 Image 服务之间的安全 HTTPS 通信,请执行以下步骤
编辑
/etc/ironic/ironic.conf[glance] ... glance_cafile=/path/to/certfile
注意
‘glance_cafile’ 是一个可选路径,指向用于验证 Image 服务提供的 SSL 证书的 CA 证书包。
如果未使用 keystone 服务目录来发现 Image 服务 API 端点,则还需要编辑
endpoint_override选项,以指向 Image 服务的 HTTPS URL(将<GLANCE_API_ADDRESS>替换为 Image 服务端点的 hostname[:port][path])[glance] ... endpoint_override = https://<GLANCE_API_ADDRESS>
重启 ironic-conductor 服务
Fedora/RHEL/CentOS: sudo systemctl restart openstack-ironic-conductor Debian/Ubuntu: sudo service ironic-conductor restart
