Antarmuka manajemen¶

Hal ini diperlukan agar administrator melakukan komando dan kontrol atas awan untuk berbagai fungsi operasional. Penting agar fasilitas komando dan kontrol ini dipahami dan dijamin.

OpenStack menyediakan beberapa antarmuka manajemen untuk operator dan penyewa:

OpenStack dashboard (horizon)
OpenStack API
Secure shell (SSH)
Utilitas manajemen OpenStack seperti manajemen nova-manage dan glance-manage
Antarmuka manajemen out-of-band, seperti IPMI

Dasbor¶

Dasbor OpenStack (horizon) menyediakan administrator dan penyewa dengan antarmuka grafis berbasis web untuk menyediakan dan mengakses sumber daya berbasis awan. Dasbor berkomunikasi dengan layanan back-end melalui panggilan ke API OpenStack.

Capabilities¶

Sebagai administrator awan, dasbor memberikan tampilan keseluruhan tentang ukuran dan keadaan awan Anda. Anda dapat membuat pengguna dan penyewa / proyek, menetapkan pengguna ke penyewa / proyek dan menetapkan batasan pada sumber daya yang tersedia untuk mereka.
Dasbor menyediakan portal layanan mandiri (self-service) bagi pengguna penyewa untuk menyediakan sumber daya mereka sendiri sesuai batasan yang ditetapkan oleh administrator.
Dasbor menyediakan dukungan GUI untuk router dan load-balancers. Misalnya, dasbor sekarang menerapkan semua fitur Networking utama.
Ini adalah aplikasi web Django extensible yang memungkinkan kemudahan plug-in produk dan layanan pihak ketiga, seperti penagihan, pemantauan, dan alat manajemen tambahan.
Dasbor juga bisa dicap (branded) untuk penyedia layanan dan vendor komersial lainnya.

Pertimbangan keamanan¶

Dasbor mengharuskan cookie dan JavaScript diaktifkan di browser web.
Server web yang menghosting dasbor harus dikonfigurasi untuk TLS untuk memastikan data dienkripsi.
Baik layanan web cakrawala maupun API OpenStack yang digunakannya untuk berkomunikasi dengan back end rentan terhadap vektor serangan web seperti penolakan layanan (denial of service) dan harus dipantau.
Sekarang mungkin (meskipun ada banyak penerapan / implikasi keamanan) untuk mengunggah file image langsung dari hard disk pengguna ke layanan OpenStack Image melalui dasbor. Untuk image multi-gigabyte masih sangat disarankan agar upload dilakukan dengan menggunakan CLI ``glance`.
Buat dan kelola grup keamanan melalui dasbor. Kelompok keamanan memungkinkan penyaringan paket L3-L4 untuk kebijakan keamanan guna melindungi mesin virtual.

Bibliografi¶

OpenStack.org, ReleaseNotes/Liberty. 2015. OpenStack Liberty Release Notes

OpenStack API¶

API OpenStack adalah endpoint layanan Web RESTful untuk mengakses, menyediakan dan mengotomatisasi sumber daya berbasis awan. Operator dan pengguna biasanya mengakses API melalui utilitas command-line (misalnya, nova atau glance), language-specific libraries, atau alat pihak ketiga.

Capabilities¶

Untuk administrator awan, API menyediakan keseluruhan tampilan ukuran dan keadaan penyebaran awan dan memungkinkan pembuatan pengguna, penyewa / proyek, menugaskan pengguna ke penyewa / proyek, dan menentukan kuota sumber daya berdasarkan per penyewa / proyek.
API menyediakan antarmuka penyewa untuk penyediaan, pengelolaan, dan akses sumber daya mereka.

Pertimbangan keamanan¶

Layanan API harus dikonfigurasi untuk TLS untuk memastikan data dienkripsi.
Sebagai layanan web, API OpenStack rentan terhadap vektor serangan situs web yang familiar seperti serangan penolakan layanan (denial of service).

Secure shell (SSH)¶

Sudah menjadi praktik industri untuk menggunakan secure shell (SSH) akses untuk pengelolaan sistem Linux dan Unix. SSH menggunakan primitif kriptografi yang aman untuk komunikasi. Dengan cakupan dan pentingnya SSH dalam penerapan OpenStack yang tipikal, penting untuk memahami praktik terbaik untuk menerapkan SSH.

Host key fingerprints¶

Sering diabaikan adalah kebutuhan akan manajemen kunci untuk host SSH. Karena kebanyakan atau semua host dalam penyebaran OpenStack akan menyediakan layanan SSH, penting untuk memiliki kepercayaan dalam koneksi ke host ini. Tidak dapat dipungkiri bahwa gagal menyediakan metode yang cukup aman dan mudah diakses untuk memverifikasi sidik jari utama host SSH (SSH host key fingerprint) menjadi rentan untuk penyalahgunaan dan eksploitasi.

Semua daemon SSH memiliki private host key dan, setelah koneksi, tawarkan host key fingerprint. Host key fingerprint. ini adalah hash dari public key yang tidak ditandai. Pentingnya host key fingerprint ini diketahui sebelum membuat koneksi SSH ke host tersebut. Verifikasi host key fingerprint sangat berperan dalam mendeteksi serangan man-in-the-middle.

Biasanya, ketika daemon SSH terinstal, host key akan dihasilkan. Hal ini diperlukan agar host memiliki entropi yang cukup selama generasi host key. Entropi yang tidak mencukupi selama generasi host key dapat mengakibatkan kemungkinan untuk menguping (eavesdrop) sesi SSH.

Setelah SSH host key dihasilkan, host key fingerprint harus disimpan di lokasi yang aman dan queryable. Salah satu solusi yang sangat mudah digunakan adalah DNS menggunakan SSHFP resource record sebagaimana didefinisikan dalam RFC-4255. Agar aman, DNSSEC perlu dikerahkan.

Utilitas manajemen¶

OpenStack Management Utilities adalah klien command-line Python open-source yang membuat panggilan API. Ada klien untuk setiap layanan OpenStack (misalnya, nova, glance). Selain klien CLI standar, sebagian besar layanan memiliki utilitas command-line manajemen yang membuat panggilan langsung ke database. Utilitas manajemen dedicated ini perlahan tidak digunakan lagi.

Pertimbangan keamanan¶

Utilitas manajemen dedicated (*-manage) dalam beberapa kasus menggunakan koneksi database langsung.
Pastikan file .rc yang memiliki informasi kredensial Anda telah diamankan.

Bibliografi¶

OpenStack.org, OpenStack End User Guide section. 2016. OpenStack command-line clients overview

OpenStack.org, Set environment variables using the OpenStack RC file. 2016. Download and source the OpenStack RC file