セキュリティー¶
OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、パスワードによるセキュリティーをサポートしています。
To ease the installation process, this guide only covers password security where applicable. You can create secure passwords manually, but the database connection string in services configuration file cannot accept special characters like "@". We recommend you generate them using a tool such as pwgen, or by running the following command:
$ openssl rand -hex 10
このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS
を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS
を使用します。
以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。
パスワード名 |
説明 |
---|---|
データベースのパスワード (変数の使用なし) |
データベースのルートパスワード |
|
|
|
Block Storage サービスのデータベースのパスワード |
|
Block Storage サービスのユーザー |
|
Dashboard のデータベースのパスワード |
|
|
|
Image service のデータベースのパスワード |
|
Image service のユーザー |
|
Identity サービスのデータベースのパスワード |
|
メタデータプロキシー用のシークレット |
|
Networking サービスのデータベースのパスワード |
|
Networking サービスのユーザー |
|
Compute サービスのデータベースのパスワード |
|
Compute サービスのユーザー |
|
Password of the Placement service user |
|
Password of RabbitMQ user |
OpenStack and supporting services require administrative privileges
during installation and operation. In some cases, services perform
modifications to the host that can interfere with deployment automation
tools such as Ansible and Puppet. For example, some OpenStack
services add a root wrapper to sudo
that can interfere with security
policies. See the
Compute service documentation for Pike,
the
Compute service documentation for Queens,
or the
Compute service documentation for Rocky
for more information.
また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。