OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、パスワードによるセキュリティーをサポートしています。
To ease the installation process, this guide only covers password security where applicable. You can create secure passwords manually, but the database connection string in services configuration file cannot accept special characters like “@”. We recommend you generate them using a tool such as pwgen, or by running the following command:
$ openssl rand -hex 10
このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS
を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS
を使用します。
以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。
パスワード名 | 説明 |
---|---|
データベースのパスワード (変数の使用なし) | データベースのルートパスワード |
ADMIN_PASS |
admin ユーザーのパスワード |
CINDER_DBPASS |
Block Storage サービスのデータベースのパスワード |
CINDER_PASS |
Block Storage サービスのユーザー cinder のパスワード |
DASH_DBPASS |
Dashboard のデータベースのパスワード |
DEMO_PASS |
demo ユーザーのパスワード |
GLANCE_DBPASS |
Image service のデータベースのパスワード |
GLANCE_PASS |
Image service のユーザー glance のパスワード |
KEYSTONE_DBPASS |
Identity サービスのデータベースのパスワード |
METADATA_SECRET |
メタデータプロキシー用のシークレット |
NEUTRON_DBPASS |
Networking サービスのデータベースのパスワード |
NEUTRON_PASS |
Networking サービスのユーザー neutron のパスワード |
NOVA_DBPASS |
Compute サービスのデータベースのパスワード |
NOVA_PASS |
Compute サービスのユーザー nova のパスワード |
PLACEMENT_PASS |
Password of the Placement service user placement |
RABBIT_PASS |
RabbitMQ の guest ユーザーのパスワード |
OpenStack およびサポートサービスは、インストール時、運用時に管理者権限を必要とします。サービスがホストに変更を行うため、Ansible、Chef、Puppet などの構成管理ツールと干渉する場合もあります。例えば、いくつかの OpenStack サービスは sudo
に root wrapper を追加しますが、これがセキュリティー・ポリシーと相容れない場合があります。詳細は OpenStack Administrator Guide を参照してください。
また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.