系统文档需求¶
系统角色和类型¶
通常构成 OpenStack 安装的两种广泛定义的节点类型是
- 基础设施节点
运行与云相关的服务,例如 OpenStack Identity 服务、消息队列服务、存储、网络以及支持云运行所需的其他服务。
- 计算、存储或其他资源节点
为您的云提供存储容量或虚拟机。
系统清单¶
文档应提供 OpenStack 环境的总体描述,并涵盖所有使用的系统(例如,生产、开发或测试)。记录系统组件、网络、服务和软件通常可以提供彻底覆盖和考虑安全问题、攻击向量以及可能的安全域桥接点的鸟瞰视图。系统清单可能需要捕获临时资源,例如虚拟机或虚拟磁盘卷,这些资源在传统的 IT 系统中通常是持久资源。
硬件清单¶
对于书面文档有严格合规性要求的云,可能受益于拥有配置管理数据库 (CMDB)。CMDB 通常用于硬件资产跟踪和整体生命周期管理。通过利用 CMDB,组织可以快速识别云基础设施硬件,例如计算节点、存储节点或网络设备。CMDB 可以帮助识别网络上存在的资产,这些资产可能由于维护不足、保护不当或被遗忘而存在漏洞。如果底层硬件支持必要的自动发现功能,OpenStack 配置系统可以提供一些基本的 CMDB 功能。
软件清单¶
与硬件一样,OpenStack 部署中的所有软件组件都应记录。示例包括
系统数据库,例如 MySQL 或 mongoDB
OpenStack 软件组件,例如 Identity 或 Compute
支持组件,例如负载均衡器、反向代理、DNS 或 DHCP 服务
在评估库、应用程序或软件类中的漏洞或妥协的影响时,权威的软件组件列表可能至关重要。
网络拓扑¶
应提供网络拓扑,并突出显示专门指出安全域之间的数据流和桥接点。应识别网络入口和出口点以及任何 OpenStack 逻辑系统边界。可能需要多个图表才能提供系统的完整视觉覆盖。网络拓扑文档应包括系统代表租户创建的虚拟网络以及 OpenStack 创建的虚拟机实例和网关。
服务、协议和端口¶
了解组织资产的信息通常是一种最佳实践。资产表可以帮助验证安全要求并有助于维护标准安全组件,例如防火墙配置、服务端口冲突、安全修复区域和合规性。此外,该表可以帮助理解 OpenStack 组件之间的关系。该表可能包括
在 OpenStack 部署中使用的服务、协议和端口。
云基础设施中所有正在运行的服务概述。
强烈建议 OpenStack 部署记录类似的信息。该表可以从 CMDB 派生的信息创建,也可以手动构建。
下面提供了一个表格示例
服务 |
协议 |
端口 |
目的 |
由...使用 |
安全域(s) |
|---|---|---|---|---|---|
beam.smp |
AMQP |
5672/tcp |
AMQP 消息服务 |
RabbitMQ |
MGMT |
tgtd |
iSCSI |
3260/tcp |
iSCSI 发起程序服务 |
iSCSI |
PRIVATE(数据网络) |
sshd |
ssh |
22/tcp |
允许安全登录到节点和客户机 VM |
各种 |
MGMT、GUEST 和 PUBLIC(如配置) |
mysqld |
mysql |
3306/tcp |
MySQL 数据库服务 |
各种 |
MGMT |
apache2 |
http |
443/tcp |
仪表盘 |
租户 |
PUBLIC |
dnsmasq |
dns |
53/tcp |
DNS 服务 |
客户机 VM |
GUEST |
