二、安全
下面的表格給出了需要密碼的服務列表以及它們在指南中關聯關系:
密碼 | |
密碼名稱 | 描述 |
數據庫密碼(不能使用變量) | 數據庫的root密碼 |
ADMIN_PASS | admin 用戶密碼 |
CEILOMETER_DBPASS | Telemetry 服務的數據庫密碼 |
CEILOMETER_PASS | Telemetry 服務的 ceilometer 用戶密碼 |
CINDER_DBPASS | 塊設備存儲服務的數據庫密碼 |
CINDER_PASS | 塊設備存儲服務的 cinder 密碼 |
DASH_DBPASS | Database password for the dashboard |
DEMO_PASS | demo 用戶的密碼 |
GLANCE_DBPASS | 鏡像服務的數據庫密碼 |
GLANCE_PASS | 鏡像服務的 glance 用戶密碼 |
HEAT_DBPASS | Orchestration服務的數據庫密碼 |
HEAT_DOMAIN_PASS | Orchestration 域的密碼 |
HEAT_PASS | Orchestration 服務中``heat``用戶的密碼 |
KEYSTONE_DBPASS | 認證服務的數據庫密碼 |
NEUTRON_DBPASS | 網絡服務的數據庫密碼 |
NEUTRON_PASS | 網絡服務的 neutron 用戶密碼 |
NOVA_DBPASS | 計算服務的數據庫密碼 |
NOVA_PASS | 計算服務中``nova``用戶的密碼 |
RABBIT_PASS | RabbitMQ的guest用戶密碼 |
SWIFT_PASS | 對象存儲服務用戶``swift``的密碼 |
四、主機網絡
示例架構假設使用如下網絡:
管理使用 10.0.0.0/24 帶有網關 10.0.0.1
這個網絡需要一個網關以為所有節點提供內部的管理目的的訪問,例如包的安裝、安全更新、 DNS,和NTP。
提供者網段 192.168.9.0/24,網關192.168.9.1
這個網絡需要一個網關來提供在環境中內部實例的訪問。
五、網絡時間協議(NTP)
你應該安裝Chrony,一個在不同節點同步服務實現 :term:`NTP`的方案。我們建議你配置控制器節點引用更準確的(lower stratum)NTP服務器,然后其他節點引用控制節點。
六、OpenStack包
啟用openstack庫
# apt-get install software-properties-common
# add-apt-repository cloud-archive:mitaka
完成安裝
1、在主機上升級包
# apt-get update && apt-get dist-upgrade
2、安裝openstack客戶端
# apt-get install python-openstackclient
七、MYSQL數據庫
大多數 OpenStack 服務使用SQL 數據庫來存儲信息。 典型地,數據庫運行在控制節點上。指南中的步驟依據不同的發行版使用MariaDB或 MySQL。OpenStack 服務也支持其他 SQL 數據庫,包括`PostgreSQL <http://www.postgresql.org/>`__.
1、安全并配置組件
# apt-get install mariadb-server python-pymysql
2、為數據庫用戶``root``設置適當的密碼。
3、創建并編輯 /etc/mysql/conf.d/openstack.cnf,然后完成如下動作:
在 [mysqld] 部分,設置 ``bind-address``值為控制節點的管理網絡IP地址以使得其它節點可以通過管理網絡訪問數據庫:
[mysqld]
...
bind-address = 10.0.0.11
在``[mysqld]`` 部分,設置如下鍵值來啟用一起有用的選項和 UTF-8 字符集:
[mysqld]
...
default-storage-engine = innodb
innodb_file_per_table
max_connections = 4096
collation-server = utf8_general_ci
character-set-server = utf8
4、完成安裝
重啟數據庫服務
service mysql restart
執行 mysql_secure_installation腳本來對數據庫進行安全加固。
mysql_secure_installation
八、消息隊列
OpenStack 使用 messagequeue 協調操作和各服務的狀態信息。消息隊列服務一般運行在控制節點上。OpenStack支持好幾種消息隊列服務包括 RabbitMQ, Qpid,和 ZeroMQ。不過,大多數發行版本的OpenStack包支持特定的消息隊列服務。本指南安裝 RabbitMQ 消息隊列服務,因為大部分發行版本都支持它。如果你想安裝不同的消息隊列服務,查詢與之相關的文檔。
安全并配置組件
1、安裝包
apt-get install rabbitmq-server
2、添加 openstack用戶:
# rabbitmqctl add_user openstack RABBIT_PASS
Creating user "openstack" ...
...done.
用合適的密碼替換 RABBIT_DBPASS。
3、給``openstack``用戶配置寫和讀權限:
# rabbitmqctl set_permissions openstack ".*" ".*" ".*"
Setting permissions for user "openstack" in vhost "/" ...
...done.
九、Memcached緩存令牌
認證服務認證緩存使用Memcached緩存令牌。緩存服務memecached運行在控制節點。在生產部署中,我們推薦聯合啟用防火墻、認證和加密保證它的安全。
安全并配置組件
1、安裝軟包
apt-get install memcached python-memcache
2、編輯 /etc/memcached.conf文件和配置服務使用控制節點管理IP地址,以此使其它節點通過管理網訪問控制節點。
-l 10.0.0.11
3、完成安裝
重啟Memcached服務:
service memcached restart
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。