セキュリティー¶
OpenStack は、パスワード、ポリシー、暗号化など、さまざまなセキュリティー技術をサポートします。さらに、データベースサーバーやメッセージブローカーなどのサポートサービスは、少なくともパスワードによるセキュリティーをサポートしています。
インストール作業を簡単にするために、このガイドは該当箇所でパスワードによるセキュリティーを設定します。安全なパスワードは手動で生成しても構いませんし、 pwgen のようなツールを用いてパスワードを生成することもできます。また、以下のコマンドを用いることもできます。
$ openssl rand -hex 10
このガイドでは、 各 OpenStack サービスについて、サービスアカウントのパスワードを参照するのに SERVICE_PASS を使用し、データベースのパスワードを参照するのに SERVICE_DBPASS を使用します。
以下の表は、パスワードを必要とするサービスと、このガイドにおける参照先をまとめたものです。
パスワード名 |
説明 |
|---|---|
データベースのパスワード (変数の使用なし) |
データベースのルートパスワード |
| ADMIN_PASS | admin ユーザーのパスワード |
| CEILOMETER_DBPASS | Telemetry サービスのデータベースのパスワード |
| CEILOMETER_PASS | Telemetry サービスのユーザー ceilometer のパスワード |
| CINDER_DBPASS | Block Storage サービスのデータベースのパスワード |
| CINDER_PASS | Block Storage サービスのユーザー cinder のパスワード |
| DASH_DBPASS | dashboard のデータベースのパスワード |
| DEMO_PASS | demo ユーザーのパスワード |
| GLANCE_DBPASS | Image service のデータベースのパスワード |
| GLANCE_PASS | Image service のユーザー glance のパスワード |
| HEAT_DBPASS | Orchestration サービスのデータベースのパスワード |
| HEAT_DOMAIN_PASS | Orchestration ドメインのパスワード |
| HEAT_PASS | Orchestration サービスのユーザー heat のパスワード |
| KEYSTONE_DBPASS | Identity サービスのデータベースのパスワード |
| NEUTRON_DBPASS | Networking サービスのデータベースのパスワード |
| NEUTRON_PASS | Networking サービスのユーザー neutron のパスワード |
| NOVA_DBPASS | Compute サービスのデータベースのパスワード |
| NOVA_PASS | Compute サービスのユーザー nova のパスワード |
| RABBIT_PASS | RabbitMQ の guest ユーザーのパスワード |
| SWIFT_PASS | Object Storage サービスのユーザー swift のパスワード |
OpenStack およびサポートサービスは、インストール時、運用時に管理者権限を必要とします。サービスがホストに変更を行うため、Ansible、Chef、Puppet などの構成管理ツールと干渉する場合もあります。例えば、いくつかの OpenStack サービスは sudo に root wrapper を追加しますが、これがセキュリティー・ポリシーと相容れない場合があります。詳細は Cloud Administrator Guide を参照してください。
また、Networking サービスは、カーネルのネットワークパラメーターを前提にしており、ファイアウォールルールを変更します。初期インストール中に多くの問題を避けるために、サポートされるディストリビューションをインストールしたそのままの環境を使用することを推奨します。ホストの構築を自動化することにした場合、先に進む前に、適用された設定やポリシーを確認してください。
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.