セキュリティー

セキュリティー

OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、パスワードによるセキュリティーをサポートしています。

To ease the installation process, this guide only covers password security where applicable. You can create secure passwords manually, but the database connection string in services configuration file cannot accept special characters like “@”. We recommend you generate them using a tool such as pwgen, or by running the following command:

$ openssl rand -hex 10

このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS を使用します。

以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。

パスワード
パスワード名 説明
データベースのパスワード (変数の使用なし) データベースのルートパスワード
ADMIN_PASS admin ユーザーのパスワード
CINDER_DBPASS Block Storage サービスのデータベースのパスワード
CINDER_PASS Block Storage サービスのユーザー cinder のパスワード
DASH_DBPASS Dashboard のデータベースのパスワード
DEMO_PASS demo ユーザーのパスワード
GLANCE_DBPASS Image service のデータベースのパスワード
GLANCE_PASS Image service のユーザー glance のパスワード
KEYSTONE_DBPASS Identity サービスのデータベースのパスワード
METADATA_SECRET メタデータプロキシー用のシークレット
NEUTRON_DBPASS Networking サービスのデータベースのパスワード
NEUTRON_PASS Networking サービスのユーザー neutron のパスワード
NOVA_DBPASS Compute サービスのデータベースのパスワード
NOVA_PASS Compute サービスのユーザー nova のパスワード
PLACEMENT_PASS Password of the Placement service user placement
RABBIT_PASS RabbitMQ の guest ユーザーのパスワード

OpenStack およびサポートサービスは、インストール時、運用時に管理者権限を必要とします。サービスがホストに変更を行うため、Ansible、Chef、Puppet などの構成管理ツールと干渉する場合もあります。例えば、いくつかの OpenStack サービスは sudo に root wrapper を追加しますが、これがセキュリティー・ポリシーと相容れない場合があります。詳細は OpenStack Administrator Guide を参照してください。

また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。

Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.