セキュリティー¶
OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、少なくともパスワードによるセキュリティーをサポートしています。
インストール作業を簡単にするために、このガイドは該当箇所でパスワードによるセキュリティーを設定します。安全なパスワードは手動で生成しても構いませんし、 pwgen のようなツールを用いてパスワードを生成することもできます。また、以下のコマンドを用いることもできます。
$ openssl rand -hex 10
このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS を使用します。
以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。
パスワード名 |
説明 |
|---|---|
データベースのパスワード (変数の使用なし) |
データベースのルートパスワード |
ADMIN_PASS |
|
CINDER_DBPASS |
Block Storage サービスのデータベースのパスワード |
CINDER_PASS |
Block Storage サービスのユーザー |
DASH_DBPASS |
dashboard のデータベースのパスワード |
DEMO_PASS |
|
GLANCE_DBPASS |
Image service のデータベースのパスワード |
GLANCE_PASS |
Image service のユーザー |
KEYSTONE_DBPASS |
Identity サービスのデータベースのパスワード |
NEUTRON_DBPASS |
Networking サービスのデータベースのパスワード |
NEUTRON_PASS |
Networking サービスのユーザー |
NOVA_DBPASS |
Compute サービスのデータベースのパスワード |
NOVA_PASS |
Compute サービスのユーザー |
RABBIT_PASS |
RabbitMQ の guest ユーザーのパスワード |
OpenStack およびサポートサービスは、インストール時、運用時に管理者権限を必要とします。サービスがホストに変更を行うため、Ansible、Chef、Puppet などの構成管理ツールと干渉する場合もあります。例えば、いくつかの OpenStack サービスは sudo に root wrapper を追加しますが、これがセキュリティー・ポリシーと相容れない場合があります。詳細は OpenStack Administrator Guide を参照してください。
また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.