Netzwerk-Service-Sicherheit Best Practices¶
Um OpenStack Networking zu sichern, müssen Sie verstehen, wie der Workflow-Prozess für die Tenantinstanz-Erstellung auf Sicherheitsdomänen abgebildet werden muss.
Es gibt vier Hauptdienste, die mit OpenStack Networking interagieren. In einer typischen OpenStack-Bereitstellung werden diese Dienste den folgenden Sicherheitsdomänen zugeordnet:
OpenStack Dashboard: Public und Management
OpenStack Identity: Management
OpenStack Compute Knoten: Management und Gast
OpenStack Netzwerkknoten: Management, Gast und eventuell public je nach Neutronen-Plugin im Einsatz.
SDN-Dienste Knoten: Management, Gast und möglicherweise public je nach Produkt verwendet.
Um eine sensible Datenkommunikation zwischen den OpenStack Networking-Diensten und anderen OpenStack-Kerndiensten zu isolieren, konfigurieren Sie diese Kommunikationskanäle nur, um die Kommunikation über ein isoliertes Management-Netzwerk zu ermöglichen.
OpenStack Networking Service Konfiguration¶
Beschränken Sie die Bindungsadresse des API-Servers: Neutron-Server¶
Um die Schnittstelle oder die IP-Adresse zu beschränken, auf die der OpenStack Networking API-Dienst einen Netzwerksocket für eingehende Clientverbindungen bindet, geben Sie die bind_host an und bind_port in der Datei neutron.conf wie folgt:
# Address to bind the API server
bind_host = IP ADDRESS OF SERVER
# Port the bind the API server to
bind_port = 9696
Beschränkung der DB- und RPC-Kommunikation der OpenStack Networking-Dienste¶
Verschiedene Komponenten der OpenStack Networking-Dienste verwenden entweder die Messaging-Warteschlange oder Datenbankverbindungen, um mit anderen Komponenten in OpenStack Networking zu kommunizieren.
Es empfiehlt sich, die folgenden Richtlinien zu beachten Datenbank-Authentifizierungs- und Zugriffskontrolle für alle Komponenten, die direkte DB-Verbindungen erfordern.
Es wird empfohlen, dass Sie die folgenden Richtlinien befolgen Warteschlangenauthentifizierung und Zugriffskontrolle für alle Komponenten, die eine RPC-Kommunikation erfordern.
