Praktik terbaik keamanan layanan jaringan¶
Untuk mengamankan OpenStack Networking, Anda harus memahami bagaimana proses alur kerja untuk pembuatan instance penyewa perlu dipetakan ke domain keamanan.
Ada empat layanan utama yang berinteraksi dengan OpenStack Networking. Dalam pengerahan OpenStack tipikal, layanan ini dipetakan ke domain keamanan berikut:
OpenStack dashboard: Public and management
OpenStack Identity: Management
OpenStack compute node: Management and guest
OpenStack network node: Management, guest, dan mungkin publik tergantung pada plugin neutron yang digunakan.
SDN services node: Management, guest dan mungkin publik tergantung produk yang digunakan.
Untuk mengisolasi komunikasi data sensitif antara layanan OpenStack Networking dan layanan inti OpenStack lainnya, konfigurasikan saluran komunikasi ini hanya untuk mengizinkan komunikasi melalui jaringan manajemen yang terisolasi.
Konfigurasi layanan OpenStack Networking¶
Batasi alamat pengikat dari server API: neutron-server¶
Untuk membatasi antarmuka atau alamat IP di mana layanan OpenStack Networking API mengikat soket jaringan untuk koneksi klien yang masuk, tentukan bind_host dan bind_port di file neutron.conf seperti yang ditunjukkan:
# Address to bind the API server
bind_host = IP ADDRESS OF SERVER
# Port the bind the API server to
bind_port = 9696
Batasi komunikasi DB dan RPC dari layanan OpenStack Networking¶
Berbagai komponen layanan OpenStack Networking menggunakan antrian pesan atau koneksi database untuk berkomunikasi dengan komponen lain di OpenStack Networking.
Disarankan agar Anda mengikuti panduan yang diberikan di Database otentikasi dan kontrol akses untuk semua komponen yang memerlukan koneksi DB langsung.
Disarankan agar Anda mengikuti panduan yang diberikan di Antrian otentikasi dan kontrol akses untuk semua komponen yang memerlukan komunikasi RPC.