Sécurité¶
Les services OpenStack supportent différentes méthodes de sécurité incluant mot de passe, police, et cryptage. De plus, les services support comme le serveur de base de données et le service de file de message supportent au moins la sécurité par mot de passe.
Pour faciliter le processus d’installation, ce guide couvre uniquement les sécurité par mot de passe quand c’est applicable. Vous pouvez créer des mots de passe sécurisé manuellement, les générer à l’aide d’un outil comme pwgen, ou en exécutant la commande suivante:
$ openssl rand -hex 10
Pour les services OpenStack, ce guide utilise SERVICE_PASS pour désigner les mots de passe des comptes de service et SERVICE_DBPASS pour désigner les mots de passe des bases de données.
Le tableau suivant montre la liste des services qui nécessitent des mots de passe et leur références associées dans ce guide:
Nom du mot de passe |
Description |
|---|---|
Mot de passe de base de données (pas de variable) |
Mot de passe root pour la base de données |
| ADMIN_PASS | Mot de passe de l’utilisateur admin |
| CEILOMETER_DBPASS | Mot de passe de la base de donnée du service de Télémétrie |
| CEILOMETER_PASS | Mot de passe de l’utilisateur de service de Télémétrie ceilometer |
| CINDER_DBPASS | Mot de passe de la base de données du service de Stockage par Blocs |
| CINDER_PASS | Mot de passe de l’utilisateur de service de Stockage par Blocs cinder |
| DASH_DBPASS | Mot de passe base de données du dashboard |
| DEMO_PASS | Mot de passe de l’utilisateur demo |
| GLANCE_DBPASS | Mot de passe de base de données pour le service d’Image |
| GLANCE_PASS | Mot de passe de l’utilisateur du service d’Image glance |
| HEAT_DBPASS | Mot de passe base de données pour le service d’Orchestration |
| HEAT_DOMAIN_PASS | Mot de passe du domaine d’Orchestration |
| HEAT_PASS | Mot de passe de l’utilisateur du service d’Orchestration heat |
| KEYSTONE_DBPASS | Mot de passe base de données du service d’Identité |
| NEUTRON_DBPASS | Mot de passe base de données pour le service Neutron |
| NEUTRON_PASS | Mot de passe de l’utilisateur de service réseau neutron |
| NOVA_DBPASS | Mot de passe base de données pour le service Compute |
| NOVA_PASS | Mot de passe de l’utilisateur de service Compute nova |
| RABBIT_PASS | Mot de passe de l’utilisateur guest de RabbitMQ |
| SWIFT_PASS | Mot de passe de l’utilisateur de service de Stockage Objet swift |
OpenStack et les services support requièrent les privilèges administratifs pendant l’installation et le fonctionnement. Dans certains cas, les services effectuent des modifications sur l’hôte qui peuvent interférer avec des outils de déploiement automatisés comme Ansible, Chef, et Puppet. Par exemple, certains services OpenStack ajoutent un wrapper root à sudo qui peut interférer avec les politiques de sécurité. Voir le Guide de l’Administrateur Cloud pour plus d’informations.
De même, le service de réseau assume que les paramètres réseau du noyau sont par défaut et modifie les règles firewall. Pour éviter des problèmes pendant l’installation initiale, il est recommandé d’utiliser un nouveau déploiement d’une distribution supportée sur votre hôte. Néanmoins, si vous choisissez d’automatiser le déploiement sur vos hôtes existants, revoir leur configuration et les polices qui leurs sont appliquées avant de poursuivre.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.