Keamanan

Layanan OpenStack mendukung berbagai metode keamanan termasuk password, kebijakan, dan enkripsi. Selain itu, layanan pendukung termasuk server database dan perantara pesan (message broker) mendukung keamanan password.

Untuk memudahkan proses instalasi, panduan ini hanya mencakup keamanan kata sandi bila berlaku. Anda dapat membuat kata sandi yang aman secara manual, namun string koneksi database dalam file konfigurasi layanan tidak dapat menerima karakter khusus seperti "@". Sebaiknya Anda buat mereka menggunakan alat seperti pwgen, atau dengan menjalankan perintah berikut:

$ openssl rand -hex 10

Untuk layanan OpenStack, panduan ini menggunakan SERVICE_PASS untuk layanan referensi password akun dan SERVICE_DBPASS untuk referensi password database.

Tabel berikut daftar layanan yang membutuhkan password dan referensi terkait dalam panduan.

Passwords

Nama password

Deskripsi

Password database (tidak ada variabel yang digunakan)

Password root untuk database

ADMIN_PASS

Password ``admin` pengguna

CINDER_DBPASS

Password database untuk layanan Block Storage

CINDER_PASS

Password layanan Blok Storage cinder pengguna

DASH_DBPASS

Password database untuk Dashboard

DEMO_PASS

Password demo pengguna

GLANCE_DBPASS

Password database untuk layanan Image

GLANCE_PASS

Password layanan Image glance pengguna

KEYSTONE_DBPASS

Password database layanan Identity

METADATA_SECRET

Rahasia untuk proxy metadata

NEUTRON_DBPASS

Password database untuk layanan Networking

NEUTRON_PASS

Password layanan Networking neutron pengguna

NOVA_DBPASS

Password database untuk layanan Compute

NOVA_PASS

Password layanan Compute nova pengguna

PLACEMENT_PASS

Sandi pengguna layanan Placement placement

RABBIT_PASS

Password dari pengguna RabbitMQ openstack

OpenStack and supporting services require administrative privileges during installation and operation. In some cases, services perform modifications to the host that can interfere with deployment automation tools such as Ansible and Puppet. For example, some OpenStack services add a root wrapper to sudo that can interfere with security policies. See the Compute service documentation for Pike, the Compute service documentation for Queens, or the Compute service documentation for Rocky for more information.

Layanan Networking mengasumsikan nilai default untuk parameter jaringan kernel dan memodifikasi aturan firewall. Untuk menghindari sebagian besar masalah selama instalasi awal Anda, kami sarankan menggunakan pengerahan stok distribusi yang didukung pada host Anda. Namun, jika Anda memilih untuk mengotomatisasi pengerahan host Anda, tinjaulah konfigurasi dan kebijakan yang diterapkan kepada mereka sebelum melanjutkan lebih lanjut.