Ağ servisleri güvenliğinin en iyi yöntemleri

OpenStack Ağını güvence altına almak için, kiracı örneği oluşturma için iş akışı sürecinin güvenlik alanlarına nasıl eşleştirilmesi gerektiğini anlamalısınız.

OpenStack Ağ ile etkileşime giren dört temel servis var. Tipik bir OpenStack dağıtımında bu servisler aşağıdaki güvenlik alanlarına eşlenir:

  • OpenStack panel: Kamu ve yönetim

  • OpenStack Kimlik: Yönetim

  • OpenStack hesaplama düğümü: Yönetim ve misafir

  • OpenStack ağ düğümü: Yönetim, misafir ve kullanımdaki neutron eklentisine bağlı olarak muhtemelen kamu.

  • SDN servisleri düğümü: Yönetim, konuk ve kullanılan ürüne bağlı olarak muhtemelen kamu.

../_images/1aa-logical-neutron-flow.png

OpenStack Ağ servisleri ve diğer OpenStack çekirdek servisleri arasındaki hassas veri iletişimini izole etmek için, bu iletişim kanallarını sadece izole bir yönetim ağı üzerinden iletişim kurmak üzere yapılandırın.

OpenStack Ağ servisi yapılandırması

API sunucusunun bağlama adresini sınırla: neutron-server

OpenStack Ağ API servisinin, gelen istemci bağlantıları için bir ağ soketini bağladığı arabirimi veya IP adresini sınırlamak için, gösterildiği gibi neutron.conf dosyasında bind_host ve bind_port değişkenlerini belirtin:

# Address to bind the API server
bind_host = IP ADDRESS OF SERVER

# Port the bind the API server to
bind_port = 9696

OpenStack Ağ servislerinin DB ve RPC iletişimini kısıtlama

OpenStack Ağ servislerinin çeşitli bileşenleri, OpenStack Ağında diğer bileşenlerle iletişim kurmak için mesajlaşma kuyruğu veya veritabanı bağlantılarını kullanır.

Doğrudan DB bağlantıları gerektiren tüm bileşenler için Veritabanı kimlik doğrulaması ve erişim kontrolü içinde verilen yönergeleri izlemeniz önerilir.

RPC iletişimini gerektiren tüm bileşenler için Kuyruk kimlik doğrulaması ve erişim kontrolü ile sağlanan yönergeleri izlemeniz önerilir.