2.3. メッセージブローカーのインストール

手順2.8 メッセージブローカーのトラフィックのファイアウォール設定

1. テキストエディターで /etc/sysconfig/iptables ファイルを開きます。
2. このファイルに、ポート 5672 で 受信接続を許可する INPUT ルールを追加します。新規ルールは、トラフィックを REJECT する INPUT ルールよりも前に記載する必要があります。

   -A INPUT -p tcp -m tcp --dport 5672  -j ACCEPT

   Copy to Clipboard Toggle word wrap
3. /etc/sysconfig/iptables ファイルへの変更を保存します。
4. iptables サービスを再起動して、ファイアウォールの変更を有効にします。

   # systemctl restart iptables.service

   Copy to Clipboard Toggle word wrap

手順2.9 RabbitMQ メッセージブローカーを OpenStack で使用するための起動および設定手順

1. rabbitmq-server サービスを立ち上げ、ブート時に起動するように設定します。

   # systemctl start rabbitmq-server.service
   # systemctl enable rabbitmq-server.service

   Copy to Clipboard Toggle word wrap
2. rabbitmq-server パッケージのインストール時には、RabbitMQ サービスの guest ユーザーは、デフォルトの guest パスワードとともに自動的に作成されます。Red Hat では、特に IPv6 が利用可能な場合には、このデフォルトパスワードを変更することを強くお勧めします。IPv6 では、RabbitMQ はネットワーク外部からアクセスが可能となる場合があります。

   # rabbitmqctl change_password guest NEW_RABBITMQ_PASS

   Copy to Clipboard Toggle word wrap
   NEW_RABBITMQ_PASS は、よりセキュアなパスワードに置き換えます。
3. Block Storage サービス、Compute サービス、OpenStack Networking、Orchestration サービス、Image サービス、Telemetry サービス用の RabbitMQ ユーザーアカウントを作成します。

   # rabbitmqctl add_user cinder CINDER_PASS
   # rabbitmqctl add_user nova NOVA_PASS
   # rabbitmqctl add_user neutron NEUTRON_PASS
   # rabbitmqctl add_user heat HEAT_PASS
   # rabbitmqctl add_user glance GLANCE_PASS
   # rabbitmqctl add_user ceilometer CEILOMETER_PASS

   Copy to Clipboard Toggle word wrap
   CINDER_PASS、NOVA_PASS、NEUTRON_PASS、HEAT_PASS、GLANCE_PASS、CEILOMETER_PASS は、各サービスのセキュアなパスワードに置き換えてください。
4. これらの RabbitMQ ユーザーに、全リソースに対する読み取り/書き込みのパーミッションを付与します。

   # rabbitmqctl set_permissions cinder ".*" ".*" ".*"
   # rabbitmqctl set_permissions nova ".*" ".*" ".*"
   # rabbitmqctl set_permissions neutron ".*" ".*" ".*"
   # rabbitmqctl set_permissions heat ".*" ".*" ".*"
   # rabbitmqctl set_permissions glance ".*" ".*" ".*"
   # rabbitmqctl set_permissions ceilometer ".*" ".*" ".*"

   Copy to Clipboard Toggle word wrap

手順2.10 RabbitMQ メッセージブローカーでの SSL の有効化

1. 必要な証明書を保管するためのディレクトリーを作成します。

   # mkdir /etc/pki/rabbitmq

   Copy to Clipboard Toggle word wrap
2. 証明書用のセキュアなパスワードを選択して、/etc/pki/rabbitmq ディレクトリー内にファイル形式で保存します。

   # echo SSL_RABBITMQ_PW > /etc/pki/rabbitmq/certpw

   Copy to Clipboard Toggle word wrap
   SSL_RABBITMQ_PW は、証明書のパスワードに置き換えます。このパスワードは、後で必要な証明書をさらにセキュリティー保護する際に使用します。
3. 証明書のディレクトリーとパスワードファイルのパーミッションを設定します。

   # chmod 700 /etc/pki/rabbitmq
   # chmod 600 /etc/pki/rabbitmq/certpw

   Copy to Clipboard Toggle word wrap
4. /etc/pki/rabbitmq/certpw ファイル内のパスワードを使用して /etc/pki/rabbitmq ディレクトリーに証明書データベースファイル (*.db) を作成します。

   # certutil -N -d /etc/pki/rabbitmq -f /etc/pki/rabbitmq/certpw

   Copy to Clipboard Toggle word wrap
5. 実稼働環境では、信頼のできるサードパーティーの証明局 (CA) を使用して証明書に署名することを推奨します。サードパーティーの CA には、証明書署名要求 (CSR) が必要となります。

   # certutil -R -d /etc/pki/rabbitmq -s "CN=RABBITMQ_HOST" \
    -a -f /etc/pki/rabbitmq/certpw > RABBITMQ_HOST.csr

   Copy to Clipboard Toggle word wrap
   RABBITMQ_HOST は、RabbitMQ メッセージブローカーをホストするサーバーの IP アドレスまたはホスト名に置き換えます。このコマンドにより、RABBITMQ_HOST.csr という名前の CSR とキーファイル (keyfile.key) が生成されます。このキーファイルは、後で RabbitMQ メッセージブローカーが SSL を使用するように設定する際に使用します。

   注記

   一部の CA には、"CN=RABBITMQ_HOST" 以外の追加の値が必要な場合があります。
6. RABBITMQ_HOST.csr をサードパーティーの CA に提供して署名を受けます。CA は署名済みの証明書 (server.crt) と CA ファイル (ca.crt) を提供します。これらのファイルを証明書のデータベースに追加します。

   # certutil -A -d /etc/pki/rabbitmq -n RABBITMQ_HOST -f /etc/pki/rabbitmq/certpw \
    -t u,u,u -a -i /path/to/server.crt
   # certutil -A -d /etc/pki/rabbitmq -n "Your CA certificate" \
    -f /etc/pki/rabbitmq/certpw -t CT,C,C -a -i /path/to/ca.crt

   Copy to Clipboard Toggle word wrap
7. RabbitMQ メッセージブローカーがセキュアな通信に証明書ファイルを使用するように設定します。テキストエディターで /etc/rabbitmq/rabbitmq.config の設定ファイルを開き、以下のように rabbit のセクションを編集します。
   1. 以下の行を探します。

         %% {ssl_listeners, [5671]},

      Copy to Clipboard Toggle word wrap
      パーセントの記号を削除して、設定をアンコメントします。

         {ssl_listeners, [5671]},

      Copy to Clipboard Toggle word wrap
   2. 次に以下の行まで、下方向にスクロールします。

         %% {ssl_options, [{cacertfile,           "/path/to/testca/cacert.pem"},

      Copy to Clipboard Toggle word wrap
      この行と、その次の ssl_options で構成される数行を、以下の内容に置き換えます。

         {ssl_options, [{cacertfile,           "/path/to/ca.crt"},
                        {certfile,             "/path/to/server.crt"},
                        {keyfile,              "/path/to/keyfile.key"},
                        {verify,               verify_peer},
                        {versions,             ['tlsv1.2','tlsv1.1',tlsv1]},
                        {fail_if_no_peer_cert, false}]}

      Copy to Clipboard Toggle word wrap
      • /path/to/ca.crt は、CA 証明書への絶対パスに置き換えます。
      • /path/to/server.crt は、署名済みの証明書への絶対パスに置き換えます。
      • /path/to/keyfile.key はキーファイルへの絶対パスに置き換えます。
8. 特定の TLS 暗号化バージョンのみのサポートを含めるように rabbitmq.config を編集して、SSLv3 を無効化します。

   {rabbit, [
   {ssl_options, [{versions, ['tlsv1.2','tlsv1.1',tlsv1]}]},
   ]}

   Copy to Clipboard Toggle word wrap
9. RabbitMQ サービスを再起動し、変更を有効にします。

   # systemctl restart rabbitmq-server.service

   Copy to Clipboard Toggle word wrap