Sicherheit¶
OpenStack-Dienste unterstützen unterschiedliche Sicherheitsverfahren, z.B. Passwörter, Policy und Verschlüsselung. Unterstützende Dienste einschließlich des Datenbankservers und Message Brokers unterstützen mindestens Passwortsicherheit.
Um den Installationsprozess zu vereinfachen, werden in diesem Leitfaden nur Passwörter als Sicherheitsmaßnahme verwendet. Sichere Passwörter können manuell erstellt werden, aber das Datenbankverbindungskommando kann keine Sonderzeichen wie z.B. “@” verarbeiten. Wir empfehlen, dass Passwörter mit Hilfe von Werkzeugen wie pwgen generiert werden oder mit folgendem Befehl erzeugt werden:
$ openssl rand -hex 10
Für die OpenStack-Dienste verwendet dieser Leitfaden SERVICE_PASS für die Accountpasswörter der Dienste und SERVICE_DBPASS für die Datenbankpasswörter.
Die nachstehende Tabelle enthält eine Liste der Dienste, die Passwörter benötigen und die zugehörigen Verweise zum Leitfaden.
| Passwortbezeichnung | Beschreibung |
|---|---|
| Datenbankpasswort (kein Wert gesetzt) | Root-Passwort für die Datenbank |
ADMIN_PASS |
Passwort des Benutzers admin |
CINDER_DBPASS |
Datenbankpasswort für den Block-Speicherdienst |
CINDER_PASS |
Passwort für den Block-Speicherdienst-Benutzer cinder |
DASH_DBPASS |
Datenbankpasswort für das Dashboard |
DEMO_PASS |
Passwort des Benutzers demo |
GLANCE_DBPASS |
Datenbankpasswort für den Abbilddienst |
GLANCE_PASS |
Passwort des Abbilddienst-Benutzers glance |
KEYSTONE_DBPASS |
Datenbankpasswort des Identitätsdienstes |
METADATA_SECRET |
Geheimwort für den Metadaten-Proxy |
NEUTRON_DBPASS |
Datenbankpasswort des Netzwerkdienstes |
NEUTRON_PASS |
Passwort des Netzwerkdienst-Benutzers neutron |
NOVA_DBPASS |
Datenbankpasswort für den Compute-Dienst |
NOVA_PASS |
Passwort des Compute-Dienst-Benutzers nova |
PLACEMENT_PASS |
Passwort des Placement Dienst Benutzers placement |
RABBIT_PASS |
Passwort für den Gastbenutzer von RabbitMQ |
OpenStack und unterstützende Dienste benötigen administrative Privilegien während der Installation und des Betriebs. In einigen Fällen können durch Dienste ausgeführte Änderungen auf dem Host zu Konflikten mit automatischen Konfigurationswerkzeugen wie Ansible, Chef und Puppet führen. Zum Beispiel fügen einige OpenStack-Dienste einen Root-Wrapper zu sudo hinzu, was mit Sicherheitsregeln kollidieren kann. Lesen Sie Administrator Guide für weitere Informationen.
Der Netzwerkdienst setzt Standardwerte für Kernel-Netzwerkparameter voraus und modifiziert Firewallregeln. Um möglichst viele Probleme während der Erstinstallation zu vermeiden, wird empfohlen eine Komplettinstallation einer unterstützten Distribution auf Ihren Hosts durchzuführen. Trotzdem sollten Sie für den Fall der automatischen Installation Ihrer Hosts die angewandten Konfigurationen und Richtlinien überprüfen, bevor Sie fortfahren.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.