セキュリティー

セキュリティー

OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、少なくともパスワードによるセキュリティーをサポートしています。

インストール作業を簡単にするために、このガイドは該当箇所でパスワードによるセキュリティーを設定します。安全なパスワードは手動で生成しても構いませんし、 pwgen のようなツールを用いてパスワードを生成することもできます。また、以下のコマンドを用いることもできます。

$ openssl rand -hex 10

このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS を使用します。

以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。

パスワード

パスワード名

説明

データベースのパスワード (変数の使用なし)

データベースのルートパスワード

ADMIN_PASS

admin ユーザーのパスワード

CEILOMETER_DBPASS

Telemetry サービスのデータベースのパスワード

CEILOMETER_PASS

Telemetry サービスのユーザー ceilometer のパスワード

CINDER_DBPASS

Block Storage サービスのデータベースのパスワード

CINDER_PASS

Block Storage サービスのユーザー cinder のパスワード

DASH_DBPASS

dashboard のデータベースのパスワード

DEMO_PASS

demo ユーザーのパスワード

GLANCE_DBPASS

Image service のデータベースのパスワード

GLANCE_PASS

Image service のユーザー glance のパスワード

HEAT_DBPASS

Orchestration サービスのデータベースのパスワード

HEAT_DOMAIN_PASS

Orchestration ドメインのパスワード

HEAT_PASS

Orchestration サービスのユーザー heat のパスワード

KEYSTONE_DBPASS

Identity サービスのデータベースのパスワード

NEUTRON_DBPASS

Networking サービスのデータベースのパスワード

NEUTRON_PASS

Networking サービスのユーザー neutron のパスワード

NOVA_DBPASS

Compute サービスのデータベースのパスワード

NOVA_PASS

Compute サービスのユーザー nova のパスワード

RABBIT_PASS

RabbitMQ の guest ユーザーのパスワード

SWIFT_PASS

Object Storage サービスのユーザー swift のパスワード

OpenStack およびサポートサービスは、インストール時、運用時に管理者権限を必要とします。サービスがホストに変更を行うため、Ansible、Chef、Puppet などの構成管理ツールと干渉する場合もあります。例えば、いくつかの OpenStack サービスは sudo に root wrapper を追加しますが、これがセキュリティー・ポリシーと相容れない場合があります。詳細は Administrator Guide を参照してください。

また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。

Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.