Keamanan¶
Layanan OpenStack mendukung berbagai metode keamanan termasuk password, kebijakan, dan enkripsi. Selain itu, layanan pendukung termasuk server database dan perantara pesan (message broker) mendukung keamanan password.
Untuk memudahkan proses instalasi, panduan ini hanya mencakup keamanan kata sandi bila berlaku. Anda dapat membuat kata sandi yang aman secara manual, namun string koneksi database dalam file konfigurasi layanan tidak dapat menerima karakter khusus seperti "@". Sebaiknya Anda buat mereka menggunakan alat seperti pwgen, atau dengan menjalankan perintah berikut:
$ openssl rand -hex 10
Untuk layanan OpenStack, panduan ini menggunakan SERVICE_PASS
untuk layanan referensi password akun dan SERVICE_DBPASS
untuk referensi password database.
Tabel berikut daftar layanan yang membutuhkan password dan referensi terkait dalam panduan.
Nama password |
Deskripsi |
---|---|
Password database (tidak ada variabel yang digunakan) |
Password root untuk database |
|
Password ``admin` pengguna |
|
Password database untuk layanan Block Storage |
|
Password layanan Blok Storage |
|
Password database untuk Dashboard |
|
Password |
|
Password database untuk layanan Image |
|
Password layanan Image |
|
Password database layanan Identity |
|
Rahasia untuk proxy metadata |
|
Password database untuk layanan Networking |
|
Password layanan Networking |
|
Password database untuk layanan Compute |
|
Password layanan Compute |
|
Sandi pengguna layanan Placement |
|
Password dari pengguna RabbitMQ |
OpenStack and supporting services require administrative privileges
during installation and operation. In some cases, services perform
modifications to the host that can interfere with deployment automation
tools such as Ansible and Puppet. For example, some OpenStack
services add a root wrapper to sudo
that can interfere with security
policies. See the
Compute service documentation for Pike,
the
Compute service documentation for Queens,
or the
Compute service documentation for Rocky
for more information.
Layanan Networking mengasumsikan nilai default untuk parameter jaringan kernel dan memodifikasi aturan firewall. Untuk menghindari sebagian besar masalah selama instalasi awal Anda, kami sarankan menggunakan pengerahan stok distribusi yang didukung pada host Anda. Namun, jika Anda memilih untuk mengotomatisasi pengerahan host Anda, tinjaulah konfigurasi dan kebijakan yang diterapkan kepada mereka sebelum melanjutkan lebih lanjut.