Sicherheit

OpenStack-Dienste unterstützen unterschiedliche Sicherheitsverfahren, z.B. Passwörter, Policy und Verschlüsselung. Unterstützende Dienste einschließlich des Datenbankservers und Message Brokers unterstützen mindestens Passwortsicherheit.

Um den Installationsprozess zu vereinfachen, werden in diesem Leitfaden nur Passwörter als Sicherheitsmaßnahme verwendet. Sichere Passwörter können manuell erstellt werden, aber das Datenbankverbindungskommando kann keine Sonderzeichen wie z.B. „@“ verarbeiten. Wir empfehlen, dass Passwörter mit Hilfe von Werkzeugen wie pwgen generiert werden oder mit folgendem Befehl erzeugt werden:

$ openssl rand -hex 10

Für die OpenStack-Dienste verwendet dieser Leitfaden SERVICE_PASS für die Accountpasswörter der Dienste und SERVICE_DBPASS für die Datenbankpasswörter.

Die nachstehende Tabelle enthält eine Liste der Dienste, die Passwörter benötigen und die zugehörigen Verweise zum Leitfaden.

Passwörter

Passwortbezeichnung

Beschreibung

Datenbankpasswort (kein Wert gesetzt)

Root-Passwort für die Datenbank

ADMIN_PASS

Passwort des Benutzers admin

CINDER_DBPASS

Datenbankpasswort für den Block-Speicherdienst

CINDER_PASS

Passwort für den Block-Speicherdienst-Benutzer cinder

DASH_DBPASS

Datenbankpasswort für das Dashboard

DEMO_PASS

Passwort des Benutzers demo

GLANCE_DBPASS

Datenbankpasswort für den Abbilddienst

GLANCE_PASS

Passwort des Abbilddienst-Benutzers glance

KEYSTONE_DBPASS

Datenbankpasswort des Identitätsdienstes

METADATA_SECRET

Geheimwort für den Metadaten-Proxy

NEUTRON_DBPASS

Datenbankpasswort des Netzwerkdienstes

NEUTRON_PASS

Passwort des Netzwerkdienst-Benutzers neutron

NOVA_DBPASS

Datenbankpasswort für den Compute-Dienst

NOVA_PASS

Passwort des Compute-Dienst-Benutzers nova

PLACEMENT_PASS

Passwort des Placement Dienst Benutzers placement

RABBIT_PASS

Passwort des RabbitMQ Benutzers openstack

OpenStack and supporting services require administrative privileges during installation and operation. In some cases, services perform modifications to the host that can interfere with deployment automation tools such as Ansible and Puppet. For example, some OpenStack services add a root wrapper to sudo that can interfere with security policies. See the Compute service documentation for Pike, the Compute service documentation for Queens, or the Compute service documentation for Rocky for more information.

Der Netzwerkdienst setzt Standardwerte für Kernel-Netzwerkparameter voraus und modifiziert Firewallregeln. Um möglichst viele Probleme während der Erstinstallation zu vermeiden, wird empfohlen eine Komplettinstallation einer unterstützten Distribution auf Ihren Hosts durchzuführen. Trotzdem sollten Sie für den Fall der automatischen Installation Ihrer Hosts die angewandten Konfigurationen und Richtlinien überprüfen, bevor Sie fortfahren.