Sicherheit¶
OpenStack-Dienste unterstützen unterschiedliche Sicherheitsverfahren, z.B. Passwörter, Policy und Verschlüsselung. Unterstützende Dienste einschließlich des Datenbankservers und Message Brokers unterstützen mindestens Passwortsicherheit.
Um den Installationsprozess zu vereinfachen, werden in diesem Leitfaden nur Passwörter als Sicherheitsmaßnahme verwendet. Sichere Passwörter können entweder manuell vergeben werden, mit Hilfe von Werkzeugen wie pwgen generiert werden oder mit folgendem Befehl erstellt werden:
$ openssl rand -hex 10
Für die OpenStack-Dienste verwendet dieser Leitfaden SERVICE_PASS für die Accountpasswörter der Dienste und SERVICE_DBPASS für die Datenbankpasswörter.
Die nachstehende Tabelle enthält eine Liste der Dienste, die Passwörter benötigen und ihre zugehörigen Verweise zum Leitfaden:
Passwortbezeichnung |
Beschreibung |
|---|---|
Datenbankpasswort (kein Wert gesetzt) |
Root-Passwort für die Datenbank |
| ADMIN_PASS | Passwort des Benutzers admin |
| CEILOMETER_DBPASS | Datenbankpasswort für den Telemetriedienst |
| CEILOMETER_PASS | Passwort des Telemetriedienst-Benutzers ceilometer |
| CINDER_DBPASS | Datenbankpasswort für den Block-Speicherdienst |
| CINDER_PASS | Passwort für den Block-Speicherdienst-Benutzer cinder |
| DASH_DBPASS | Datenbankpasswort für das Dashboard |
| DEMO_PASS | Passwort des Benutzers demo |
| GLANCE_DBPASS | Datenbankpasswort für den Abbilddienst |
| GLANCE_PASS | Passwort des Abbilddienst-Benutzers glance |
| HEAT_DBPASS | Datenbankpasswort für den Orchestrierungsdienst |
| HEAT_DOMAIN_PASS | Passwort der Orchestrierungs-Domäne |
| HEAT_PASS | Passwort des Orchestrierungsdienst-Benutzers heat |
| KEYSTONE_DBPASS | Datenbankpasswort des Identitätsdienstes |
| NEUTRON_DBPASS | Datenbankpasswort des Netzwerkdienstes |
| NEUTRON_PASS | Passwort des Netzwerkdienst-Benutzers neutron |
| NOVA_DBPASS | Datenbankpasswort für den Compute-Dienst |
| NOVA_PASS | Passwort des Compute-Dienst-Benutzers nova |
| RABBIT_PASS | Passwort für den Gastbenutzer von RabbitMQ |
| SWIFT_PASS | Passwort des Objekt-Speicherdienst-Benutzers swift |
OpenStack und unterstützende Dienste benötigen administrative Privilegien während der Installation und des Betriebs. In einigen Fällen können durch Dienste ausgeführte Änderungen auf dem Host zu Konflikten mit automatischen Konfigurationswerkzeugen wie Ansible, Chef und Puppet führen. Zum Beispiel fügen einige OpenStack-Dienste einen Root-Wrapper zu sudo hinzu, was mit Sicherheitsregeln kollidieren kann. Lesen Sie Administrator Guide für weitere Informationen.
Außerdem setzt der Netzwerkdienst Standardwerte für Kernel-Netzwerkparameter voraus und modifiziert Firewallregeln. Um möglichst viele Probleme während der Erstinstallation zu vermeiden, wird empfohlen eine Komplettinstallation einer unterstützten Distribution auf Ihren Hosts durchzuführen. Trotzdem sollten Sie für den Fall der automatischen Installation Ihrer Hosts die angewandten Konfigurationen und Richtlinien überprüfen, bevor Sie fortfahren.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.