Praktik terbaik keamanan layanan jaringan

Untuk mengamankan OpenStack Networking, Anda harus memahami bagaimana proses alur kerja untuk pembuatan instance penyewa perlu dipetakan ke domain keamanan.

Ada empat layanan utama yang berinteraksi dengan OpenStack Networking. Dalam pengerahan OpenStack tipikal, layanan ini dipetakan ke domain keamanan berikut:

  • OpenStack dashboard: Public and management

  • OpenStack Identity: Management

  • OpenStack compute node: Management and guest

  • OpenStack network node: Management, guest, dan mungkin publik tergantung pada plugin neutron yang digunakan.

  • SDN services node: Management, guest dan mungkin publik tergantung produk yang digunakan.

../_images/1aa-logical-neutron-flow.png

Untuk mengisolasi komunikasi data sensitif antara layanan OpenStack Networking dan layanan inti OpenStack lainnya, konfigurasikan saluran komunikasi ini hanya untuk mengizinkan komunikasi melalui jaringan manajemen yang terisolasi.

Konfigurasi layanan OpenStack Networking

Batasi alamat pengikat dari server API: neutron-server

Untuk membatasi antarmuka atau alamat IP di mana layanan OpenStack Networking API mengikat soket jaringan untuk koneksi klien yang masuk, tentukan bind_host dan bind_port di file neutron.conf seperti yang ditunjukkan:

# Address to bind the API server
bind_host = IP ADDRESS OF SERVER

# Port the bind the API server to
bind_port = 9696

Batasi komunikasi DB dan RPC dari layanan OpenStack Networking

Berbagai komponen layanan OpenStack Networking menggunakan antrian pesan atau koneksi database untuk berkomunikasi dengan komponen lain di OpenStack Networking.

Disarankan agar Anda mengikuti panduan yang diberikan di Database otentikasi dan kontrol akses untuk semua komponen yang memerlukan koneksi DB langsung.

Disarankan agar Anda mengikuti panduan yang diberikan di Antrian otentikasi dan kontrol akses untuk semua komponen yang memerlukan komunikasi RPC.