安全加固

安全加固¶

OpenStack Compute 可以与各种第三方技术集成以提高安全性。有关更多信息，请参阅 OpenStack 安全指南。

加密 Compute 元数据流量¶

启用 SSL 加密

OpenStack 支持使用 HTTPS 加密 Compute 元数据流量。在 metadata_agent.ini 文件中启用 SSL 加密。

启用 HTTPS 协议。
```
nova_metadata_protocol = https
```
确定是否接受 Compute 元数据服务器请求的不安全 SSL 连接。默认值为 False。
```
nova_metadata_insecure = False
```
指定客户端证书的路径。
```
nova_client_cert = PATH_TO_CERT
```
指定私钥的路径。
```
nova_client_priv_key = PATH_TO_KEY
```

使用 QEMU 原生 TLS 保护实时迁移流¶

强烈建议在使用非共享存储时，保护 nova 实例的所有不同实时迁移流——即客户机 RAM、设备状态和磁盘（通过 NBD）。有关如何设置此功能的更多详细信息，请参阅使用 QEMU 原生 TLS 保护实时迁移文档。

缓解 MDS（微架构数据采样）安全漏洞¶

强烈建议对所有计算节点和 nova 实例进行补丁，以防止与处理器相关的安全漏洞，例如 MDS（和其他之前的漏洞）。有关应用 MDS 漏洞缓解措施的详细信息，请参阅缓解 MDS（“微架构数据采样”）安全漏洞。

此页面最后更新时间：2021-03-23 11:06:23

Creative Commons Attribution 3.0 License

除非另有说明，此文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文档。