Sicherheit

OpenStack-Dienste unterstützen unterschiedliche Sicherheitsverfahren, z.B. Passwörter, Policy und Verschlüsselung. Unterstützende Dienste einschließlich des Datenbankservers und Message Brokers unterstützen mindestens Passwortsicherheit.

Um den Installationsprozess zu vereinfachen, werden in diesem Leitfaden nur Passwörter als Sicherheitsmaßnahme verwendet. Sichere Passwörter können manuell erstellt werden, aber das Datenbankverbindungskommando kann keine Sonderzeichen wie z.B. „@“ verarbeiten. Wir empfehlen, dass Passwörter mit Hilfe von Werkzeugen wie pwgen generiert werden oder mit folgendem Befehl erzeugt werden:

$ openssl rand -hex 10

Für die OpenStack-Dienste verwendet dieser Leitfaden SERVICE_PASS für die Accountpasswörter der Dienste und SERVICE_DBPASS für die Datenbankpasswörter.

Die nachstehende Tabelle enthält eine Liste der Dienste, die Passwörter benötigen und die zugehörigen Verweise zum Leitfaden.

Passwörter

Passwortbezeichnung	Beschreibung
Datenbankpasswort (kein Wert gesetzt)	Root-Passwort für die Datenbank
ADMIN_PASS	Passwort des Benutzers admin
CINDER_DBPASS	Datenbankpasswort für den Block-Speicherdienst
CINDER_PASS	Passwort für den Block-Speicherdienst-Benutzer cinder
DASH_DBPASS	Datenbankpasswort für das Dashboard
DEMO_PASS	Passwort des Benutzers demo
GLANCE_DBPASS	Datenbankpasswort für den Abbilddienst
GLANCE_PASS	Passwort des Abbilddienst-Benutzers glance
KEYSTONE_DBPASS	Datenbankpasswort des Identitätsdienstes
METADATA_SECRET	Geheimwort für den Metadaten-Proxy
NEUTRON_DBPASS	Datenbankpasswort des Netzwerkdienstes
NEUTRON_PASS	Passwort des Netzwerkdienst-Benutzers neutron
NOVA_DBPASS	Datenbankpasswort für den Compute-Dienst
NOVA_PASS	Passwort des Compute-Dienst-Benutzers nova
PLACEMENT_PASS	Passwort des Placement Dienst Benutzers placement
RABBIT_PASS	Passwort des RabbitMQ Benutzers openstack

OpenStack and supporting services require administrative privileges during installation and operation. In some cases, services perform modifications to the host that can interfere with deployment automation tools such as Ansible, Chef, and Puppet. For example, some OpenStack services add a root wrapper to sudo that can interfere with security policies. See the Compute service documentation for Pike, the Compute service documentation for Queens, or the Compute service documentation for Rocky for more information.

Der Netzwerkdienst setzt Standardwerte für Kernel-Netzwerkparameter voraus und modifiziert Firewallregeln. Um möglichst viele Probleme während der Erstinstallation zu vermeiden, wird empfohlen eine Komplettinstallation einer unterstützten Distribution auf Ihren Hosts durchzuführen. Trotzdem sollten Sie für den Fall der automatischen Installation Ihrer Hosts die angewandten Konfigurationen und Richtlinien überprüfen, bevor Sie fortfahren.