Sécurité¶
Les services OpenStack supportent différentes méthodes de sécurité incluant mot de passe, politique et chiffrement. De plus, les services transverses y compris le serveur de base de données et le service de file de messages supportent la sécurité par mot de passe.
Pour faciliter le processus d’installation, ce guide couvre uniquement la sécurité par mot de passe quand elle est applicable. Vous pouvez créer des mots de passe sûrs manuellement, mais la chaîne de connexion à la base de données dans le fichier de configuration n’accepte pas certains caractères spéciaux comme « @ ». Il est recommandé de les générer à l’aide d’un outil comme pwgen, ou en exécutant la commande suivante :
$ openssl rand -hex 10
Pour les services OpenStack, ce guide utilise SERVICE_PASS
pour désigner les mots de passe des comptes de service et SERVICE_DBPASS
pour désigner les mots de passe des bases de données.
Le tableau suivant montre la liste des services qui nécessitent des mots de passe et leurs références associées dans ce guide.
Nom du mot de passe |
Description |
---|---|
Mot de passe de base de données (pas de variable) |
Mot de passe root pour la base de données |
|
Mot de passe de l’utilisateur |
|
Mot de passe de la base de données du service de Stockage par Blocs |
|
Mot de passe de l’utilisateur de service de Stockage par Blocs |
|
Mot de passe de la base de données du Dashboard |
|
Mot de passe de l’utilisateur |
|
Mot de passe de base de données pour le service d’Image |
|
Mot de passe de l’utilisateur du service d’Image |
|
Mot de passe base de données du service d’Identité |
|
Secret pour le proxy metadata. |
|
Mot de passe base de données pour le service Neutron |
|
Mot de passe de l’utilisateur de service réseau |
|
Mot de passe base de données pour le service Compute |
|
Mot de passe de l’utilisateur de service Compute |
|
Mot de passe pour l’utilisateur du service de Placement |
|
Mot de passe de l’utilisateur RabbitMQ |
OpenStack and supporting services require administrative privileges
during installation and operation. In some cases, services perform
modifications to the host that can interfere with deployment automation
tools such as Ansible and Puppet. For example, some OpenStack
services add a root wrapper to sudo
that can interfere with security
policies. See the
Compute service documentation for Pike,
the
Compute service documentation for Queens,
or the
Compute service documentation for Rocky
for more information.
Le service de réseau suppose que les paramètres réseau du noyau sont ceux par défaut et modifie les règles du pare-feu. Pour éviter des problèmes pendant l’installation initiale, il est recommandé d’utiliser sur vos hôtes le déploiement d’une distribution supportée. Néanmoins, si vous choisissez d’automatiser le déploiement sur vos hôtes, vérifier la configuration et les politiques qui leur sont appliquées avant de poursuivre.