Безопасность

Службы OpenStack поддерживают различные механизмы безопасности, включая пароли, политики и шифрование. Дополнительно, вспомогательные службы, включающие сервер баз данных и брокер сообщений, поддерживают пароли.

To ease the installation process, this guide only covers password security where applicable. You can create secure passwords manually, but the database connection string in services configuration file cannot accept special characters like «@». We recommend you generate them using a tool such as pwgen, or by running the following command:

$ openssl rand -hex 10

Для сервисов OpenStack данная инструкция использует SERVICE_PASS для ссылки на пароли аккаунтов и SERVICE_DBPASS для ссылки на пароли баз данных.

Следующая таблица содержит список сервисов требующих пароли и связанные с ними ссылки в инструкции:

Пароли

Имя пароля

Описание

Пароль базы данных(не используются переменные)

Пароль root для базы данных

ADMIN_PASS

Пароль пользователя admin

CINDER_DBPASS

Пароль базы данных сервиса блочных хранилищ

CINDER_PASS

Пароль пользователя cinder сервиса блочных хранилищ

DASH_DBPASS

Пароль базы данных панели Управления

DEMO_PASS

Пароль пользователя demo

GLANCE_DBPASS

Пароль базы данных сервиса управления образами

GLANCE_PASS

Password of Image service user glance

KEYSTONE_DBPASS

Пароль базы данных сервиса Идентификации

METADATA_SECRET

Secret for the metadata proxy

NEUTRON_DBPASS

Пароль базы данных для сервиса управления сетью

NEUTRON_PASS

Пароль пользователя ``neutron `` сервиса управления сетью

NOVA_DBPASS

Пароль базы данных для сервиса Вычислительных ресурсов

NOVA_PASS

Пароль пользователя ``nova `` сервиса Вычислительных ресурсов

PLACEMENT_PASS

Password of the Placement service user placement

RABBIT_PASS

Password of RabbitMQ user openstack

OpenStack and supporting services require administrative privileges during installation and operation. In some cases, services perform modifications to the host that can interfere with deployment automation tools such as Ansible and Puppet. For example, some OpenStack services add a root wrapper to sudo that can interfere with security policies. See the Compute service documentation for Pike, the Compute service documentation for Queens, or the Compute service documentation for Rocky for more information.

Сервис управления сетью присваивает стандартные значения сетевым параметрам ядра и модифицирует правила брандмауэра. Для избежания большого количества проблем во время первоначальной установки, мы рекомендуем использовать базовые параметры для вашего дистрибутива. Тем не менее, если Вы решите автоматизировать процесс