Sicherheit¶
OpenStack-Dienste unterstützen unterschiedliche Sicherheitsverfahren, z.B. Passwörter, Policy und Verschlüsselung. Unterstützende Dienste einschließlich des Datenbankservers und Message Brokers unterstützen mindestens Passwortsicherheit.
Um den Installationsprozess zu vereinfachen, werden in diesem Leitfaden nur Passwörter als Sicherheitsmaßnahme verwendet. Sichere Passwörter können manuell erstellt werden, aber das Datenbankverbindungskommando kann keine Sonderzeichen wie z.B. „@“ verarbeiten. Wir empfehlen, dass Passwörter mit Hilfe von Werkzeugen wie pwgen generiert werden oder mit folgendem Befehl erzeugt werden:
$ openssl rand -hex 10
Für die OpenStack-Dienste verwendet dieser Leitfaden SERVICE_PASS
für die Accountpasswörter der Dienste und SERVICE_DBPASS
für die Datenbankpasswörter.
Die nachstehende Tabelle enthält eine Liste der Dienste, die Passwörter benötigen und die zugehörigen Verweise zum Leitfaden.
Passwortbezeichnung |
Beschreibung |
---|---|
Datenbankpasswort (kein Wert gesetzt) |
Root-Passwort für die Datenbank |
|
Passwort des Benutzers |
|
Datenbankpasswort für den Block-Speicherdienst |
|
Passwort für den Block-Speicherdienst-Benutzer |
|
Datenbankpasswort für das Dashboard |
|
Passwort des Benutzers |
|
Datenbankpasswort für den Abbilddienst |
|
Passwort des Abbilddienst-Benutzers |
|
Datenbankpasswort des Identitätsdienstes |
|
Geheimwort für den Metadaten-Proxy |
|
Datenbankpasswort des Netzwerkdienstes |
|
Passwort des Netzwerkdienst-Benutzers |
|
Datenbankpasswort für den Compute-Dienst |
|
Passwort des Compute-Dienst-Benutzers |
|
Passwort des Placement Dienst Benutzers |
|
Passwort des RabbitMQ Benutzers |
OpenStack and supporting services require administrative privileges
during installation and operation. In some cases, services perform
modifications to the host that can interfere with deployment automation
tools such as Ansible and Puppet. For example, some OpenStack
services add a root wrapper to sudo
that can interfere with security
policies. See the
Compute service documentation for Pike,
the
Compute service documentation for Queens,
or the
Compute service documentation for Rocky
for more information.
Der Netzwerkdienst setzt Standardwerte für Kernel-Netzwerkparameter voraus und modifiziert Firewallregeln. Um möglichst viele Probleme während der Erstinstallation zu vermeiden, wird empfohlen eine Komplettinstallation einer unterstützten Distribution auf Ihren Hosts durchzuführen. Trotzdem sollten Sie für den Fall der automatischen Installation Ihrer Hosts die angewandten Konfigurationen und Richtlinien überprüfen, bevor Sie fortfahren.