Networking サービス セキュリティベストプラクティス

OpenStack Networking のセキュリティを強化する為に、どの程度テナントインスタンス作成用のワークフロープロセスをセキュリティドメインにマッピングさせる必要があることを理解しなくてはいけません。

OpenStack Networking と交信する主要なサービスが4つあります。典型的な OpenStack デプロイでは、これらのサービスは以下のセキュリティドメインにマッピングされます。

  • OpenStack Dashboard: パブリック、管理

  • OpenStack Identity: 管理

  • OpenStack Compute ノード: 管理、ゲスト

  • OpenStack ネットワークノード: 管理、ゲスト(使用する neutron プラグインによってはパブリックも可能性あり)

  • SDB サービスノード:管理、ゲスト (使用する製品によってはパブリックも可能性あり)

../_images/1aa-logical-neutron-flow.png

OpenStack Networking サービスと他の OpenStack コアサービス間の扱いの難しいデータ通信を分離する為、通信を独立した管理ネットワーク上でのみ行うように通信路を設定します。

OpenStack Networking サービス設定

API サーバがバインドするアドレスの制限: neutron-server

OpenStack Networking API サービスが外からのクライアント通信用にネットワークソケットをバインドするネットワークインターフェース又は IP アドレスを制限する為、neutron.conf ファイル中の bind_host と bind_port を以下のように指定します。

# Address to bind the API server
bind_host = IP ADDRESS OF SERVER

# Port the bind the API server to
bind_port = 9696

OpenStack Networking サービス群の DB と RPC 通信の制限

OpenStack Networking サービスの様々なコンポーネントは、OpenStack Networking 中の他のコンポーネントとの通信にメッセージキュー又はデータベース接続のいずれかを使用します。

直接データベースにアクセスする必要のある全コンポーネントは、 データベースの認証とアクセス制御 にあるガイドラインに従うことが推奨されます。

RPC 通信を必要とする全コンポーネントは、 キューの認証およびアクセス制御 にあるガイドラインに従うことが推奨されます。