二、安全

下面的表格给出了需要密码的服务列表以及它们在指南中关联关系:

密码

密码名称

描述

数据库密码(不能使用变量)

数据库的root密码

ADMIN_PASS

admin 用户密码

CEILOMETER_DBPASS

Telemetry 服务的数据库密码

CEILOMETER_PASS

Telemetry 服务的 ceilometer 用户密码

CINDER_DBPASS

块设备存储服务的数据库密码

CINDER_PASS

块设备存储服务的 cinder 密码

DASH_DBPASS

Database password for the dashboard

DEMO_PASS

demo 用户的密码

GLANCE_DBPASS

镜像服务的数据库密码

GLANCE_PASS

镜像服务的 glance 用户密码

HEAT_DBPASS

Orchestration服务的数据库密码

HEAT_DOMAIN_PASS

Orchestration 域的密码

HEAT_PASS

Orchestration 服务中``heat``用户的密码

KEYSTONE_DBPASS

认证服务的数据库密码

NEUTRON_DBPASS

网络服务的数据库密码

NEUTRON_PASS

网络服务的 neutron 用户密码

NOVA_DBPASS

计算服务的数据库密码

NOVA_PASS

计算服务中``nova``用户的密码

RABBIT_PASS

RabbitMQ的guest用户密码

SWIFT_PASS

对象存储服务用户``swift``的密码

四、主机网络


示例架构假设使用如下网络:

管理使用 10.0.0.0/24 带有网关 10.0.0.1

这个网络需要一个网关以为所有节点提供内部的管理目的的访问,例如包的安装、安全更新、 DNS,和NTP

提供者网段 192.168.9.0/24,网关192.168.9.1

这个网络需要一个网关来提供在环境中内部实例的访问。

五、网络时间协议(NTP)

你应该安装Chrony,一个在不同节点同步服务实现 :term:`NTP`的方案。我们建议你配置控制器节点引用更准确的(lower stratum)NTP服务器,然后其他节点引用控制节点。

六、OpenStack包

启用openstack库

# apt-get install software-properties-common

# add-apt-repository cloud-archive:mitaka

完成安装

1、在主机上升级包

#apt-getupdate&&apt-getdist-upgrade

2、安装openstack客户端

#apt-getinstallpython-openstackclient

七、MYSQL数据库

大多数 OpenStack 服务使用SQL 数据库来存储信息。 典型地,数据库运行在控制节点上。指南中的步骤依据不同的发行版使用MariaDB或 MySQL。OpenStack 服务也支持其他 SQL 数据库,包括`PostgreSQL <http://www.postgresql.org/>`__.

1、安全并配置组件

#apt-getinstallmariadb-serverpython-pymysql

2、为数据库用户``root``设置适当的密码。

3、创建并编辑 /etc/mysql/conf.d/openstack.cnf,然后完成如下动作:

在 [mysqld] 部分,设置 ``bind-address``值为控制节点的管理网络IP地址以使得其它节点可以通过管理网络访问数据库:

[mysqld]

...

bind-address=10.0.0.11


在``[mysqld]``部分,设置如下键值来启用一起有用的选项和UTF-8字符集:

[mysqld]

...

default-storage-engine=innodb

innodb_file_per_table

max_connections=4096

collation-server=utf8_general_ci

character-set-server=utf8


4、完成安装

重启数据库服务

servicemysqlrestart

执行 mysql_secure_installation脚本来对数据库进行安全加固。

mysql_secure_installation

八、消息队列

OpenStack 使用 messagequeue 协调操作和各服务的状态信息。消息队列服务一般运行在控制节点上。OpenStack支持好几种消息队列服务包括 RabbitMQ, Qpid,和 ZeroMQ。不过,大多数发行版本的OpenStack包支持特定的消息队列服务。本指南安装 RabbitMQ 消息队列服务,因为大部分发行版本都支持它。如果你想安装不同的消息队列服务,查询与之相关的文档。

安全并配置组件

1、安装包

apt-getinstallrabbitmq-server

2、添加 openstack用户:

#rabbitmqctladd_useropenstackRABBIT_PASS

Creatinguser"openstack"...

...done.

用合适的密码替换 RABBIT_DBPASS。

3、给``openstack``用户配置写和读权限:

#rabbitmqctlset_permissionsopenstack".*"".*"".*"

Settingpermissionsforuser"openstack"invhost"/"...

...done.


九、Memcached缓存令牌

认证服务认证缓存使用Memcached缓存令牌。缓存服务memecached运行在控制节点。在生产部署中,我们推荐联合启用防火墙、认证和加密保证它的安全。

安全并配置组件

1、安装软包

apt-getinstallmemcachedpython-memcache

2、编辑 /etc/memcached.conf文件和配置服务使用控制节点管理IP地址,以此使其它节点通过管理网访问控制节点。

-l10.0.0.11

3、完成安装

重启Memcached服务:

servicememcachedrestart