Безопасность¶
Службы OpenStack поддерживают различные механизмы безопасности, включая пароли, политики и шифрование. Дополнительно, вспомогательные службы, включающие сервер баз данных и брокер сообщений, поддерживают как минимум пароли.
Для простоты установки данная инструкция рассматривает, где применимо, только безопасность с использованием паролей. Вы можете создать безопасные пароли вручную, сгенерировать их с использованием утилит, таких как pwgen, или выполнив следующую команду:
$ openssl rand -hex 10
Для сервисов OpenStack данная инструкция использует SERVICE_PASS для ссылки на пароли аккаунтов и SERVICE_DBPASS для ссылки на пароли баз данных.
Следующая таблица содержит список сервисов требующих пароли и связанные с ними ссылки в инструкции:
Имя пароля |
Описание |
|---|---|
Пароль базы данных(не используются переменные) |
Пароль root для базы данных |
ADMIN_PASS |
Пароль пользователя |
CINDER_DBPASS |
Пароль базы данных сервиса блочных хранилищ |
CINDER_PASS |
Пароль пользователя |
DASH_DBPASS |
Пароль базы данных панели управления |
DEMO_PASS |
Пароль пользователя |
GLANCE_DBPASS |
Пароль базы данных сервиса управления образами |
GLANCE_PASS |
Password of Image service user glance |
KEYSTONE_DBPASS |
Пароль базы данных сервиса Идентификации |
NEUTRON_DBPASS |
Пароль базы данных для сервиса управления сетью |
NEUTRON_PASS |
Пароль пользователя ``neutron `` сервиса управления сетью |
NOVA_DBPASS |
Пароль базы данных для сервиса Вычислительных ресурсов |
NOVA_PASS |
Пароль пользователя ``nova `` сервиса Вычислительных ресурсов |
RABBIT_PASS |
Пароль гостевого пользователя RabbitMQ |
OpenStack и вспомогательные сервисы требуют прав администратора во время установки и администрирования. В некоторых случаях сервисы выполняют модификацию хоста, что может помешать разворачиванию с помощью автоматических инструментов, таких как Ansible, Chef, и Puppet. К примеру, некоторые сервисы OpenStack добавляют администраторскую обёртку над коммандой sudo что может помешать политикам безопасности. Смотрите `OpenStack Administrator Guide <http://docs.openstack.org/ admin-guide/compute-root-wrap-reference.html>`__для получения большей информации.
Также, сервис управления сетью присваивает стандартные значения сетевым параметрам ядра и модифицирует правила брандмауэра. Для избежания большого количества проблем во время первоначальной установки, мы рекомендуем использовать базовые параметры для вашего дистрибутива. Тем не менее, если Вы решите автоматизировать процесс развертывания для ваших узлов, рассмотрите конфигурации и политики, применимые к ним, перед тем, как продолжить.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.