セキュリティー

OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、パスワードによるセキュリティーをサポートしています。

To ease the installation process, this guide only covers password security where applicable. You can create secure passwords manually, but the database connection string in services configuration file cannot accept special characters like "@". We recommend you generate them using a tool such as pwgen, or by running the following command:

$ openssl rand -hex 10

このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS を使用します。

以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。

パスワード

パスワード名

説明

データベースのパスワード (変数の使用なし)

データベースのルートパスワード

ADMIN_PASS

admin ユーザーのパスワード

CINDER_DBPASS

Block Storage サービスのデータベースのパスワード

CINDER_PASS

Block Storage サービスのユーザー cinder のパスワード

DASH_DBPASS

Dashboard のデータベースのパスワード

DEMO_PASS

demo ユーザーのパスワード

GLANCE_DBPASS

Image service のデータベースのパスワード

GLANCE_PASS

Image service のユーザー glance のパスワード

KEYSTONE_DBPASS

Identity サービスのデータベースのパスワード

METADATA_SECRET

メタデータプロキシー用のシークレット

NEUTRON_DBPASS

Networking サービスのデータベースのパスワード

NEUTRON_PASS

Networking サービスのユーザー neutron のパスワード

NOVA_DBPASS

Compute サービスのデータベースのパスワード

NOVA_PASS

Compute サービスのユーザー nova のパスワード

PLACEMENT_PASS

Password of the Placement service user placement

RABBIT_PASS

Password of RabbitMQ user openstack

OpenStack and supporting services require administrative privileges during installation and operation. In some cases, services perform modifications to the host that can interfere with deployment automation tools such as Ansible and Puppet. For example, some OpenStack services add a root wrapper to sudo that can interfere with security policies. See the Compute service documentation for Pike, the Compute service documentation for Queens, or the Compute service documentation for Rocky for more information.

また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。