보안 및 강화 가이드

프로세스

1. 소스 stackrc:

   $ source /home/stack/stackrc

   Copy to Clipboard Toggle word wrap

2. 할당된 ip 네트워크를 연결된 영역에 일치하도록 openstack subnet list 를 실행합니다.

   openstack subnet list -c Name -c Subnet
   +---------------------+------------------+
   | Name                | Subnet           |
   +---------------------+------------------+
   | ctlplane-subnet     | 192.168.101.0/24 |
   | storage_mgmt_subnet | 172.16.105.0/24  |
   | tenant_subnet       | 172.16.102.0/24  |
   | external_subnet     | 10.94.81.0/24    |
   | internal_api_subnet | 172.16.103.0/24  |
   | storage_subnet      | 172.16.104.0/24  |
   +---------------------+------------------+

   Copy to Clipboard Toggle word wrap

3. openstack server list 를 실행하여 인프라의 물리적 서버를 나열합니다.

   openstack server list -c Name -c Networks
   +-------------------------+-------------------------+
   | Name                    | Networks                |
   +-------------------------+-------------------------+
   | overcloud-controller-0  | ctlplane=192.168.101.15 |
   | overcloud-controller-1  | ctlplane=192.168.101.19 |
   | overcloud-controller-2  | ctlplane=192.168.101.14 |
   | overcloud-novacompute-0 | ctlplane=192.168.101.18 |
   | overcloud-novacompute-2 | ctlplane=192.168.101.17 |
   | overcloud-novacompute-1 | ctlplane=192.168.101.11 |
   +-------------------------+-------------------------+

   Copy to Clipboard Toggle word wrap

4. openstack server list 명령의 ctlplane 주소를 사용하여 물리적 노드의 구성을 쿼리합니다.

   ssh tripleo-admin@192.168.101.15 ip addr

   Copy to Clipboard Toggle word wrap

프로세스

1. 언더클라우드 노드에서 SSH를 통해 tripleo-admin 사용자로 오버클라우드 노드에 로그인합니다.
2. sudo -i 를 사용하여 root 사용자로 전환합니다.

프로세스

1. 문자열을 사용하여 ExtraFireWallRules 매개변수 아래에 각 규칙 이름을 정의합니다. 규칙 이름 아래에 다음 매개변수를 사용하여 규칙을 정의할 수 있습니다.

   • dport:: 규칙에 연결된 대상 포트입니다.
   • proto:: 규칙과 연결된 프로토콜입니다. 기본값은 tcp 입니다.
   • action: 규칙과 연결된 작업 정책입니다. 기본값을 수락합니다.

   • Source:: 규칙과 연결된 소스 IP 주소입니다.

     다음 예제에서는 규칙을 사용하여 사용자 지정 애플리케이션에 대한 추가 포트를 여는 방법을 보여줍니다.

     cat > ~/templates/firewall.yaml <<EOF
     parameter_defaults:
       ExtraFirewallRules:
         '300 allow custom application 1':
           dport: 999
           proto: udp
         '301 allow custom application 2':
           dport: 8081
           proto: tcp
     EOF

     Copy to Clipboard Toggle word wrap
     참고

     action 매개변수를 설정하지 않으면 결과가 허용됩니다 . 삭제,삽입 또는 추가 하도록 action 매개변수만 설정할 수 있습니다.

2. openstack overcloud deloy 명령에 ~/templates/firewall.yaml 파일을 포함합니다. 배포에 필요한 모든 템플릿을 포함합니다.

   openstack overcloud deploy --templates /
   ...
   -e /home/stack/templates/firewall.yaml /
   ....

   Copy to Clipboard Toggle word wrap

프로세스

1. 컨트롤러 노드에서 rabbitmq 의 기본 iptables 규칙 수를 찾습니다.

   [tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq
   ACCEPT     tcp  --  anywhere             anywhere             multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */

   Copy to Clipboard Toggle word wrap

2. 환경 파일 uder parameter_defaults 에서 ExtraFirewallRules 매개변수를 사용하여 rabbitmq 를 InternalApi 네트워크로 제한합니다. 이 규칙에는 기본 rabbitmq 규칙 번호 또는 109보다 낮은 수가 제공됩니다.

   cat > ~/templates/firewall.yaml <<EOF
   parameter_defaults:
     ExtraFirewallRules:
       '098 allow rabbit from internalapi network':
         dport:
         - 4369
         - 5672
         - 25672
         proto: tcp
         source: 10.0.0.0/24
       '099 drop other rabbit access':
         dport:
         - 4369
         - 5672
         - 25672
         proto: tcp
         action: drop
   EOF

   Copy to Clipboard Toggle word wrap
   참고

   action 매개변수를 설정하지 않으면 결과가 허용됩니다 . 삭제,삽입 또는 추가 하도록 action 매개변수만 설정할 수 있습니다.

3. openstack overcloud deloy 명령에 ~/templates/firewall.yaml 파일을 포함합니다. 배포에 필요한 모든 템플릿을 포함합니다.

   openstack overcloud deploy --templates /
   ...
   -e /home/stack/templates/firewall.yaml /
   ....

   Copy to Clipboard Toggle word wrap

절차

1. 현재 사용 중인 역할을 지정하는 파일의 배포에 대한 기존 템플릿을 확인합니다. 사용자 환경에서 사용하는 각 역할에 대한 NIC 구성 파일이 있습니다. 다음 예에서 RHOSP 환경에는 ComputeHCI 역할, Compute 역할 및 Controller 역할이 포함됩니다.

   $ cd ~/templates
   $ tree
   .
   ├── environments
   │   └── network-environment.yaml
   ├── hci.yaml
   ├── network
   │   └── config
   │       └── multiple-nics
   │           ├── computehci.yaml
   │           ├── compute.yaml
   │           └── controller.yaml
   ├── network_data.yaml
   ├── plan-environment.yaml
   └── roles_data_hci.yaml

   Copy to Clipboard Toggle word wrap

2. RHOSP 환경의 각 역할은 많은 상호 관련 서비스를 수행합니다. 역할 파일을 검사하여 각 역할에서 사용하는 서비스를 문서화할 수 있습니다.

   1. 템플릿에 대한 역할 파일이 생성된 경우 ~/templates 디렉터리에서 찾을 수 있습니다.

      $ cd ~/templates
      $ find . -name *role*
      > ./templates/roles_data_hci.yaml

      Copy to Clipboard Toggle word wrap

   2. 템플리트에 대한 역할 파일이 생성되지 않은 경우 문서 목적으로 현재 검사하는 역할에 대해 하나를 생성할 수 있습니다.

      $ openstack overcloud roles generate \
      > --roles-path /usr/share/openstack-tripleo-heat-templates/roles \
      > -o roles_data.yaml Controller Compute

      Copy to Clipboard Toggle word wrap

프로세스

1. 언더클라우드에서 stackrc 파일을 소싱합니다.

   $ source ~/stackrc

   Copy to Clipboard Toggle word wrap

2. 사용자 환경의 노드를 나열합니다.

   $ openstack baremetal node list -c Name
   +--------------+
   | Name         |
   +--------------+
   | controller-0 |
   | controller-1 |
   | controller-2 |
   | compute-0    |
   | compute-1    |
   | compute-2    |
   +--------------+

   Copy to Clipboard Toggle word wrap

3. 정보를 수집하고 다음 명령을 실행하여 인트로스펙션 데이터를 검색하는 각 baremetal 노드에 대해 다음을 실행합니다.

   $ openstack baremetal introspection data save <node> | jq

   Copy to Clipboard Toggle word wrap

   & lt;node >를 1단계에서 검색한 목록에서 노드 이름으로 바꿉니다.

4. 선택 사항: 출력을 특정 유형의 하드웨어로 제한하려면 인벤토리 키 목록을 검색하고 특정 키에 대한 인트로스펙션 데이터를 볼 수 있습니다.

   1. 다음 명령을 실행하여 인트로스펙션 데이터에서 최상위 키 목록을 가져옵니다.

      $ openstack baremetal introspection data save controller-0 | jq '.inventory | keys'
      
      [
        "bmc_address",
        "bmc_v6address",
        "boot",
        "cpu",
        "disks",
        "hostname",
        "interfaces",
        "memory",
        "system_vendor"
      ]

      Copy to Clipboard Toggle word wrap

   2. 예를 들어 키(예: 디스크 )를 선택하고 다음을 실행하여 자세한 정보를 가져옵니다.

      $ openstack baremetal introspection data save controller-1 | jq '.inventory.disks'
      [
        {
          "name": "/dev/sda",
          "model": "QEMU HARDDISK",
          "size": 85899345920,
          "rotational": true,
          "wwn": null,
          "serial": "QM00001",
          "vendor": "ATA",
          "wwn_with_extension": null,
          "wwn_vendor_extension": null,
          "hctl": "0:0:0:0",
          "by_path": "/dev/disk/by-path/pci-0000:00:01.1-ata-1"
        }
      ]

      Copy to Clipboard Toggle word wrap

프로세스

1. 악의적인 활동을 받을 수 있는 시스템 및 서비스의 진입점을 알고 있어야 합니다. 언더클라우드에서 다음 명령을 실행합니다.

   $ cat /etc/hosts
   $ source stackrc ; openstack endpoint list
   $ source overcloudrc ; openstack endpoint list

   Copy to Clipboard Toggle word wrap

2. RHOSP는 컨테이너화된 서비스에 배포되므로 해당 노드에서 실행 중인 컨테이너를 확인하여 오버클라우드 노드에서 소프트웨어 구성 요소를 볼 수 있습니다. ssh 를 사용하여 오버클라우드 노드에 연결하고 실행 중인 컨테이너를 나열합니다. 예를 들어 compute-0 에서 오버클라우드 서비스를 보려면 다음과 유사한 명령을 실행합니다.

   $ ssh tripleo-admin@compute-0 podman ps

   Copy to Clipboard Toggle word wrap

1. /etc/resolv.conf 파일을 구성합니다.

   /etc/resolv.conf 의 언더클라우드에 적절한 검색 도메인과 네임서버를 설정합니다. 예를 들어 배포 도메인이 example.com 이고 FreeIPA 서버의 도메인이 bigcorp.com 인 경우 /etc/resolv.conf에 다음 행을 추가합니다.

   search example.com bigcorp.com
   nameserver $IDM_SERVER_IP_ADDR

   Copy to Clipboard Toggle word wrap

2. 필요한 소프트웨어를 설치합니다.

   sudo dnf install -y python3-ipalib python3-ipaclient krb5-devel

   Copy to Clipboard Toggle word wrap

3. 환경과 관련된 값으로 환경 변수를 내보냅니다.

   export IPA_DOMAIN=bigcorp.com
   export IPA_REALM=BIGCORP.COM
   export IPA_ADMIN_USER=$IPA_USER 

   1

   
   export IPA_ADMIN_PASSWORD=$IPA_PASSWORD 

   2

   
   export IPA_SERVER_HOSTNAME=ipa.bigcorp.com
   export UNDERCLOUD_FQDN=undercloud.example.com 

   3

   
   export USER=stack
   export CLOUD_DOMAIN=example.com

   Copy to Clipboard Toggle word wrap

   1 2

   IdM 사용자 인증 정보는 새 호스트 및 서비스를 추가할 수 있는 관리자입니다.

   3

   UNDERCLOUD_FQDN 매개변수의 값은 /etc/hosts 의 첫 번째 hostname-to-IP 주소 매핑과 일치합니다.

4. 언더클라우드에서 undercloud-ipa-install.yaml ansible 플레이북을 실행합니다.

   ansible-playbook \
   --ssh-extra-args "-o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null" \
   /usr/share/ansible/tripleo-playbooks/undercloud-ipa-install.yaml

   Copy to Clipboard Toggle word wrap

5. undercloud.conf에 다음 매개변수를 추가합니다.

   undercloud_nameservers = $IDM_SERVER_IP_ADDR
   overcloud_domain_name = example.com

   Copy to Clipboard Toggle word wrap

6. [선택 사항] IPA 영역이 IPA 도메인과 일치하지 않는 경우 certmonger_krb_realm 매개변수 값을 설정합니다.

   1. /home/stack/hiera_override.yaml:에서 certmonger_krb_realm 의 값을 설정합니다.

      parameter_defaults:
        certmonger_krb_realm = EXAMPLE.COMPANY.COM

      Copy to Clipboard Toggle word wrap

   2. undercloud.conf 의 custom_env_files 매개변수 값을 /home/stack/hiera_override.yaml 로 설정합니다.

      custom_env_files = /home/stack/hiera_override.yaml

      Copy to Clipboard Toggle word wrap

7. 언더클라우드를 배포합니다.

   openstack undercloud install

   Copy to Clipboard Toggle word wrap

1. IdM의 호스트를 나열합니다.

   $ kinit admin
   $ ipa host-find

   Copy to Clipboard Toggle word wrap

2. /etc/novajoin/krb5.keytab 이 언더클라우드에 있는지 확인합니다.

   ls /etc/novajoin/krb5.keytab

   Copy to Clipboard Toggle word wrap

1. 오버클라우드를 배포하기 전에 다음과 유사한 콘텐츠를 사용하여 YAML 파일 tls-parameters.yaml 을 생성합니다. 선택한 값은 환경에 따라 다릅니다.

   parameter_defaults:
       DnsSearchDomains: ["example.com"]
       CloudDomain: example.com
       CloudName: overcloud.example.com
       CloudNameInternal: overcloud.internalapi.example.com
       CloudNameStorage: overcloud.storage.example.com
       CloudNameStorageManagement: overcloud.storagemgmt.example.com
       CloudNameCtlplane: overcloud.ctlplane.example.com
       IdMServer: freeipa-0.redhat.local
       IdMDomain: redhat.local
       IdMInstallClientPackages: False
   
   resource_registry:
         OS::TripleO::Services::IpaClient: /usr/share/openstack-tripleo-heat-templates/deployment/ipa/ipaservices-baremetal-ansible.yaml

   Copy to Clipboard Toggle word wrap
   • OS::TripleO::Services::IpaClient 매개변수의 표시된 값은 enable-internal-tls.yaml 파일의 기본 설정을 재정의합니다. openstack overcloud deploy 명령에서 tls-parameters.yaml 파일이 enable-internal-tls.yaml 파일을 사용해야 합니다.
   • TLS-e를 구현하는 데 사용하는 매개변수에 대한 자세한 내용은 tripleo-ipa 의 매개변수를 참조하십시오.

2. 오버클라우드를 배포합니다. 배포 명령에 tls-parameters.yaml을 포함해야 합니다.

   DEFAULT_TEMPLATES=/usr/share/openstack-tripleo-heat-templates/
   CUSTOM_TEMPLATES=/home/stack/templates
   
   openstack overcloud deploy \
   -e ${DEFAULT_TEMPLATES}/environments/ssl/tls-everywhere-endpoints-dns.yaml \
   -e ${DEFAULT_TEMPLATES}/environments/services/haproxy-public-tls-certmonger.yaml \
   -e ${DEFAULT_TEMPLATES}/environments/ssl/enable-internal-tls.yaml \
   -e ${CUSTOM_TEMPLATES}/tls-parameters.yaml \
   ...

   Copy to Clipboard Toggle word wrap

3. 끝점 목록에 대해 keystone을 쿼리하여 각 끝점이 HTTPS를 사용하고 있는지 확인합니다.

   openstack endpoint list

   Copy to Clipboard Toggle word wrap

1. 다음 내용으로 memcached.yaml 이라는 환경 파일을 생성하여 memcached에 대한 TLS 지원을 추가합니다.

   parameter_defaults:
       MemcachedTLS: true
       MemcachedPort: 11212

   Copy to Clipboard Toggle word wrap

2. 오버클라우드 배포 프로세스에 memcached.yaml 환경 파일을 포함합니다.

   openstack overcloud deploy --templates \
   -e /usr/share/openstack-tripleo-heat-templates/environments/ssl/enable-internal-tls.yaml \
   -e /usr/share/openstack-tripleo-heat-templates/environments/ssl/tls-everywhere-endpoints-dns.yaml \
   -e /usr/share/openstack-tripleo-heat-templates/environments/services/haproxy-public-tls-certmonger.yaml \
   -e /home/stack/memcached.yaml
   ...

   Copy to Clipboard Toggle word wrap

프로세스

1. 각 오버클라우드 노드에서 /etc/ipa/default.conf 구성 파일을 편집하여 server 및 xmlrpc_uri 매개변수에 IdM 서버의 FQDN(정규화된 도메인 이름)이 포함되도록 합니다.

   #File modified by ipa-client-install
   
   [global]
   basedn = dc=redhat,dc=local
   realm = REDHAT.LOCAL
   domain = redhat.local
   server = freeipa-0.redhat.local
   host = undercloud-0.redhat.local
   xmlrpc_uri = https://freeipa-0.redhat.local/ipa/xml
   enable_ra = True

   Copy to Clipboard Toggle word wrap

2. 언더클라우드에서 /home/stack/templates/tls-parameters.yaml 환경 파일을 편집하고 IPA_SERVER_HOSTNAME 매개변수가 /etc/ipa/default.conf 의 xmlrpc_uri 및 server 매개변수에 표시된 FQDN과 일치하는지 확인합니다. 모든 매개변수가 사용자 환경과 일치하는지 확인합니다.

   export IPA_DOMAIN=bigcorp.com
   export IPA_REALM=BIGCORP.COM
   export IPA_ADMIN_USER=$IPA_USER
   export IPA_ADMIN_PASSWORD=$IPA_PASSWORD
   export IPA_SERVER_HOSTNAME=ipa.bigcorp.com
   export UNDERCLOUD_FQDN=undercloud.example.com
   export USER=stack
   export CLOUD_DOMAIN=example.com

   Copy to Clipboard Toggle word wrap

절차

1. /etc/pki/CA/index.txt 파일에는 서명된 모든 인증서의 기록이 포함되어 있습니다. 파일 시스템 경로와 index.txt 파일이 있는지 확인합니다.

   $ sudo mkdir -p /etc/pki/CA
   $ sudo touch /etc/pki/CA/index.txt

   Copy to Clipboard Toggle word wrap

2. /etc/pki/CA/serial 파일은 서명할 다음 인증서에 사용할 다음 일련번호를 식별합니다. 이 파일이 있는지 확인합니다. 파일이 없는 경우 새 시작 값으로 새 파일을 생성합니다.

   $ echo '1000' | sudo tee /etc/pki/CA/serial

   Copy to Clipboard Toggle word wrap

절차

1. 인증 기관 역할을 하는 키와 인증서 쌍을 생성합니다.

   $ openssl genrsa -out ca.key.pem 4096
   $ openssl req  -key ca.key.pem -new -x509 -days 7300 -extensions v3_ca -out ca.crt.pem

   Copy to Clipboard Toggle word wrap
2. openssl req 명령은 기관에 대한 특정 세부 정보를 요청합니다. 메시지가 나타나면 해당 세부 정보를 입력합니다. 이 명령을 수행하면 ca.crt.pem이라는 인증 기관 파일이 생성됩니다.

3. enable-tls.yaml 파일에서 인증서 위치를 PublicTLSCAFile 매개변수 값으로 설정합니다. 인증서 위치를 PublicTLSCAFile 매개변수 값으로 설정하면 CA 인증서 경로가 clouds.yaml 인증 파일에 추가되었는지 확인합니다.

   parameter_defaults:
       PublicTLSCAFile: /etc/pki/ca-trust/source/anchors/cacert.pem

   Copy to Clipboard Toggle word wrap

절차

1. 클라이언트 시스템에 인증 기관을 복사합니다.

   $ sudo cp ca.crt.pem /etc/pki/ca-trust/source/anchors/

   Copy to Clipboard Toggle word wrap

2. 각 클라이언트에 인증 기관 파일을 복사한 후 각 클라이언트에서 다음 명령을 실행하여 인증 기관 신뢰 번들에 인증서를 추가합니다.

   $ sudo update-ca-trust extract

   Copy to Clipboard Toggle word wrap

절차

1. 다음 명령을 실행하여 SSL/TLS 키(server.key.pem)를 생성합니다.

   $ openssl genrsa -out server.key.pem 2048

   Copy to Clipboard Toggle word wrap

절차

1. 기본 OpenSSL 설정 파일을 복사합니다.

   $ cp /etc/pki/tls/openssl.cnf .

   Copy to Clipboard Toggle word wrap

2. 새 openssl.cnf 파일을 편집하고 director에 사용할 SSL 매개변수를 설정합니다. 수정할 매개변수 유형의 예제는 다음과 같습니다.

   [req]
   distinguished_name = req_distinguished_name
   req_extensions = v3_req
   
   [req_distinguished_name]
   countryName = Country Name (2 letter code)
   countryName_default = AU
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = Queensland
   localityName = Locality Name (eg, city)
   localityName_default = Brisbane
   organizationalUnitName = Organizational Unit Name (eg, section)
   organizationalUnitName_default = Red Hat
   commonName = Common Name
   commonName_default = 192.168.0.1
   commonName_max = 64
   
   [ v3_req ]
   # Extensions to add to a certificate request
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = @alt_names
   
   [alt_names]
   IP.1 = 192.168.0.1
   DNS.1 = instack.localdomain
   DNS.2 = vip.localdomain
   DNS.3 = 192.168.0.1

   Copy to Clipboard Toggle word wrap

   commonName_default를 다음 항목 중 하나로 설정합니다.

   • IP 주소를 사용하여 SSL/TLS를 통해 director에 액세스하는 경우 undercloud.conf 파일의 undercloud_public_host 매개변수를 사용합니다.
   • 정규화된 도메인 이름을 사용하여 SSL/TLS을 통해 director에 액세스하는 경우 도메인 이름을 사용합니다.

   alt_names 섹션을 편집하여 다음 항목을 포함합니다.

   • IP - 클라이언트가 SSL을 통해 director에 액세스하는 데 사용하는 IP 주소 목록입니다.
   • DNS - 클라이언트가 SSL을 통해 director에 액세스하는 데 사용하는 도메인 이름 목록입니다. 또한 공용 API IP 주소를 alt_names 섹션 끝에 DNS 항목으로 추가합니다.
   참고

   openssl.cnf에 대한 자세한 내용을 보려면 man openssl.cnf 명령을 실행합니다.

3. 다음 명령을 실행하여 인증서 서명 요청(server.csr.pem)을 생성합니다.

   $ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem

   Copy to Clipboard Toggle word wrap

   -key 옵션을 사용하여 OpenStack SSL/TLS 키를 지정합니다.

절차

1. newcerts 디렉터리가 없는 경우 해당 디렉터리를 생성합니다.

   sudo mkdir -p /etc/pki/CA/newcerts

   Copy to Clipboard Toggle word wrap

2. 다음 명령을 실행하여 언더클라우드 또는 오버클라우드에 대한 인증서를 생성합니다.

   $ sudo openssl ca -config openssl.cnf -extensions v3_req -days 3650 -in server.csr.pem -out server.crt.pem -cert ca.crt.pem -keyfile ca.key.pem

   Copy to Clipboard Toggle word wrap

   이 명령은 다음 옵션을 사용합니다.

   -config

   사용자 지정 구성 파일, 즉 v3 확장이 포함된 openssl.cnf 파일을 사용합니다.

   -extensions v3_req

   v3 확장을 활성화합니다.

   -days

   인증서가 만료될 때까지 남은 기간(일)을 정의합니다.

   -in

   인증서 서명 요청입니다.

   -out

   생성된 서명된 인증서입니다.

   -cert

   인증 기관 파일입니다.

   -keyfile

   인증 기관 개인 키입니다.

절차

1. 다음 명령을 실행하여 인증서와 키를 결합합니다.

   $ cat server.crt.pem server.key.pem > undercloud.pem

   Copy to Clipboard Toggle word wrap

   이 명령을 실행하면 undercloud.pem 파일이 생성됩니다.

2. /etc/pki 디렉터리 내의 위치에 undercloud.pem 파일을 복사하고 HAProxy가 읽을 수 있도록 필요한 SELinux 컨텍스트를 설정합니다.

   $ sudo mkdir /etc/pki/undercloud-certs
   $ sudo cp ~/undercloud.pem /etc/pki/undercloud-certs/.
   $ sudo semanage fcontext -a -t etc_t "/etc/pki/undercloud-certs(/.*)?"
   $ sudo restorecon -R /etc/pki/undercloud-certs

   Copy to Clipboard Toggle word wrap

3. undercloud.conf 파일의 undercloud_service_certificate 옵션에 undercloud.pem 파일 위치를 추가합니다.

   undercloud_service_certificate = /etc/pki/undercloud-certs/undercloud.pem

   Copy to Clipboard Toggle word wrap

   generate_service_certificate 및 certificate_generation_ca 매개변수를 설정하거나 활성화하지 마십시오. director는 이러한 매개변수를 사용하여 수동으로 생성한 undercloud.pem 인증서를 사용하는 대신 인증서를 자동으로 생성합니다.

4. 인증서에 서명한 인증 기관을 언더클라우드의 신뢰할 수 있는 인증 기관 목록에 추가하면 언더클라우드 내의 다른 서비스에서 해당 인증 기관에 액세스할 수 있습니다.

   $ sudo cp ca.crt.pem /etc/pki/ca-trust/source/anchors/
   $ sudo update-ca-trust extract

   Copy to Clipboard Toggle word wrap

   언더클라우드에 인증 기관이 추가되었는지 확인하려면 openssl을 사용하여 신뢰 번들을 확인합니다.

   $ openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs -text | grep <CN of the CA issuer> -A 10 -B 10

   Copy to Clipboard Toggle word wrap

   <CN of the CA issuer>를 CA 발행자의 일반 이름으로 바꿉니다. 이 명령은 유효 날짜를 포함하여 주요 인증서 세부 정보를 출력합니다.

절차

1. heat 템플릿 컬렉션에서 enable-tls.yaml 환경 파일을 복사합니다.

   $ cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/enable-tls.yaml ~/templates/.

   Copy to Clipboard Toggle word wrap

2. 이 파일을 편집하고 이러한 매개변수에 대해 다음과 같이 변경합니다.

   SSLCertificate

   인증서 파일(server.crt.pem)의 콘텐츠를 SSLCertificate 매개변수에 복사합니다.

   parameter_defaults:
     SSLCertificate: |
       -----BEGIN CERTIFICATE-----
       MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGS
       ...
       sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQ
       -----END CERTIFICATE-----

   Copy to Clipboard Toggle word wrap

   중요

   인증서 콘텐츠에는 모든 새 행에 대해 동일한 들여쓰기 수준이 필요합니다.

   SSLIntermediateCertificate

   중간 인증서가 있는 경우 중간 인증서의 내용을 SSLIntermediateCertificate 매개변수에 복사합니다.

   parameter_defaults:
     SSLIntermediateCertificate: |
       -----BEGIN CERTIFICATE-----
       sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQbIxEpIzrgvpBCwUAMFgxCzAJB
       ...
       MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGSIb3DQE
       -----END CERTIFICATE-----

   Copy to Clipboard Toggle word wrap

   중요

   인증서 콘텐츠에는 모든 새 행에 대해 동일한 들여쓰기 수준이 필요합니다.

   SSLKey

   개인 키(server.key.pem)의 콘텐츠를 SSLKey 매개변수에 복사합니다.

   parameter_defaults:
     ...
     SSLKey: |
       -----BEGIN RSA PRIVATE KEY-----
       MIIEowIBAAKCAQEAqVw8lnQ9RbeI1EdLN5PJP0lVO
       ...
       ctlKn3rAAdyumi4JDjESAXHIKFjJNOLrBmpQyES4X
       -----END RSA PRIVATE KEY-----

   Copy to Clipboard Toggle word wrap

   중요

   개인 키 콘텐츠에는 모든 새 행에 대해 동일한 들여쓰기 수준이 필요합니다.

절차

1. heat 템플릿 컬렉션에서 inject-trust-anchor-hiera.yaml 환경 파일을 복사합니다.

   $ cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/inject-trust-anchor-hiera.yaml ~/templates/.

   Copy to Clipboard Toggle word wrap

절차

1. 다음 콘텐츠를 사용하여 heat 템플릿을 편집합니다.

   • enable-tls.yaml 파일을 편집하고 SSLCertificate,SSLKey 및 SSLIntermediateCertificate 매개변수를 업데이트합니다.
   • 인증 기관이 변경된 경우 inject-trust-anchor-hiera.yaml 파일을 편집하고 CAMap 매개변수를 업데이트합니다.

2. 배포 명령을 다시 실행합니다.

   $ openstack overcloud deploy --templates \
   [...]
   -e /home/stack/templates/enable-tls.yaml \
   -e ~/templates/custom-domain.yaml \
   -e ~/templates/inject-trust-anchor-hiera.yaml \
   -e /usr/share/openstack-tripleo-heat-templates/environments/ssl/tls-endpoints-public-dns.yaml

   Copy to Clipboard Toggle word wrap

3. director에서 각 컨트롤러에 대해 다음 명령을 실행합니다.

   ssh tripleo-admin@<controller> sudo podman \
   restart $(podman ps --format="{{.Names}}" | grep -w -E 'haproxy(-bundle-.*-[0-9]+)?')

   Copy to Clipboard Toggle word wrap

절차

1. 컨트롤러 노드의 IP 주소를 검색합니다.

   [stack@director ~]$ source ~/stackrc
   [stack@director ~]$ openstack server list
   --------------------------------------------------------------------------------------------+
   | ID                                   | Name                    | Status | Networks            |
   --------------------------------------------------------------------------------------------+
   | 756fbd73-e47b-46e6-959c-e24d7fb71328 | overcloud-controller-0  | ACTIVE | ctlplane=192.0.2.16 |
   | 62b869df-1203-4d58-8e45-fac6cd4cfbee | overcloud-novacompute-0 | ACTIVE | ctlplane=192.0.2.8  |
   --------------------------------------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

2. 컨트롤러 노드에 SSH를 실행합니다.

   [tripleo-admin@overcloud-controller-0 ~]$ ssh tripleo-admin@192.0.2.16

   Copy to Clipboard Toggle word wrap

3. 토큰 드라이버 및 공급자 설정의 값을 검색합니다.

   [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf token driver
   sql
   [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf token provider
   fernet

   Copy to Clipboard Toggle word wrap

4. Cryostat 공급자를 테스트합니다.

   [tripleo-admin@overcloud-controller-0 ~]$ exit
   [stack@director ~]$ source ~/overcloudrc
   [stack@director ~]$ openstack token issue
   -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
   | Field | Value |
   -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
   | expires | 2016-09-20 05:26:17+00:00 |
   | id | gAAAAABX4LppE8vaiFZ992eah2i3edpO1aDFxlKZq6a_RJzxUx56QVKORrmW0-oZK3-Xuu2wcnpYq_eek2SGLz250eLpZOzxKBR0GsoMfxJU8mEFF8NzfLNcbuS-iz7SV-N1re3XEywSDG90JcgwjQfXW-8jtCm-n3LL5IaZexAYIw059T_-cd8 |
   | project_id | 26156621d0d54fc39bf3adb98e63b63d |
   | user_id | 397daf32cadd490a8f3ac23a626ac06c |
   -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

   결과에는 long Cryostat 토큰이 포함됩니다.

절차

1. 기존 Cryostat 키를 검토합니다.

   1. Cryostat 키 위치를 식별합니다. Controller 노드에 tripleo-admin 사용자로 로그인하고 crudini 명령을 사용하여 Cryostat 키를 쿼리합니다.

      [stack@<undercloud_host> ~]$ ssh tripleo-admin@overcloud-controller-o
      [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf fernet_tokens key_repository
      /etc/keystone/fernet-keys

      Copy to Clipboard Toggle word wrap
      참고

      /etc/keystone/ 디렉터리는 컨테이너 파일 시스템 경로를 나타냅니다.

   2. 현재 key 디렉토리를 검사합니다.

      [tripleo-admin@overcloud-controller-0 ~]$ sudo ls /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys
      0  1  2

      Copy to Clipboard Toggle word wrap
      • 0 - 다음 기본 키가 되고 항상 0 이 되는 스테이징된 키를 포함합니다.
      • 1 - 보조 키를 포함합니다.

      • 2 - 기본 키를 포함합니다. 이 수는 키가 회전할 때마다 증가합니다. 가장 높은 숫자는 항상 기본 키 역할을 합니다.

        참고
        • 최대 키 수는 max_active_keys 속성으로 설정됩니다. 기본값은 5 키입니다.
        • 키는 모든 컨트롤러 노드에 전파됩니다.

2. workflow 명령을 사용하여 Cryostat 키를 순환합니다.

   [stack@director ~]$ source ~/stackrc
   [stack@director ~]$ openstack workflow execution create tripleo.fernet_keys.v1.rotate_fernet_keys {"container": "overcloud"}
   --------------------------------------------------------------+
   | Field             | Value                                     |
   --------------------------------------------------------------+
   | ID                | 58c9c664-b966-4f82-b368-af5ed8de5b47      |
   | Workflow ID       | 78f0990a-3d34-4bf2-a127-10c149bb275c      |
   | Workflow name     | tripleo.fernet_keys.v1.rotate_fernet_keys |
   | Description       |                                           |
   | Task Execution ID | <none>                                    |
   | State             | RUNNING                                   |
   | State info        | None                                      |
   | Created at        | 2017-12-20 11:13:50                       |
   | Updated at        | 2017-12-20 11:13:50                       |
   --------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

검증

1. ID를 검색하고 워크플로우가 성공했는지 확인합니다.

   [stack@director ~]$ openstack workflow execution show 58c9c664-b966-4f82-b368-af5ed8de5b47
   --------------------------------------------------------------+
   | Field             | Value                                     |
   --------------------------------------------------------------+
   | ID                | 58c9c664-b966-4f82-b368-af5ed8de5b47      |
   | Workflow ID       | 78f0990a-3d34-4bf2-a127-10c149bb275c      |
   | Workflow name     | tripleo.fernet_keys.v1.rotate_fernet_keys |
   | Description       |                                           |
   | Task Execution ID | <none>                                    |
   | State             | SUCCESS                                   |
   | State info        | None                                      |
   | Created at        | 2017-12-20 11:13:50                       |
   | Updated at        | 2017-12-20 11:15:00                       |
   --------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

2. 컨트롤러 노드에서 Cryostat 키 수를 검토하고 이전 결과와 비교합니다.

   [tripleo-admin@overcloud-controller-0 ~]$ sudo ls /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys
   0  1  2  3

   Copy to Clipboard Toggle word wrap
   • 0 - 스테이징된 키를 포함하며 항상 0 으로 번호가 매겨집니다. 이 키는 다음 교체 중에 기본 키가 됩니다.
   • 1 & 2 - 보조 키를 포함합니다.

   • 기본 키를 포함합니다.Contains the primary key. 이 수는 키가 회전할 때마다 증가합니다. 가장 높은 숫자는 항상 기본 키 역할을 합니다.

     참고
     • 최대 키 수는 max_active_keys 속성으로 설정됩니다. 기본값은 5 키입니다.
     • 키는 모든 컨트롤러 노드에 전파됩니다.

프로세스

1. 언더클라우드에서 FIPS를 활성화합니다.

   1. 언더클라우드를 설치하려는 시스템에서 FIPS를 활성화합니다.

      fips-mode-setup --enable

      Copy to Clipboard Toggle word wrap
      참고

      이 단계에서는 fips=1 커널 매개 변수가 GRUB 설정 파일에 추가됩니다. 결과적으로 Red Hat Enterprise Linux에서 사용하는 암호화 알고리즘 모듈만 FIPS 모드에 있으며 표준에 의해 승인되는 암호화 알고리즘만 사용됩니다.

   2. 시스템을 재부팅합니다.

   3. FIPS가 활성화되었는지 확인합니다.

      fips-mode-setup --check

      Copy to Clipboard Toggle word wrap
   4. Red Hat OpenStack Platform director를 설치하고 구성합니다. 자세한 내용은 언더클라우드에 director 설치를 참조하십시오.

2. 오버클라우드에 대한 FIPS 지원 이미지를 준비합니다.

   1. 오버클라우드 이미지를 설치합니다.

      sudo dnf -y install rhosp-director-images-uefi-fips-x86_64

      Copy to Clipboard Toggle word wrap

   2. stack 사용자의 홈 디렉터리에 images 디렉터리를 생성합니다.

      $ mkdir /home/stack/images
      $ cd /home/stack/images

      Copy to Clipboard Toggle word wrap

   3. 이미지를 홈 디렉터리에 추출합니다.

      for i in /usr/share/rhosp-director-images/*fips*.tar; do tar -xvf $i; done

      Copy to Clipboard Toggle word wrap

   4. 이미지를 업로드하기 전에 심볼릭 링크를 생성해야 합니다.

      ln -s ironic-python-agent-fips.initramfs       ironic-python-agent.initramfs
      ln -s ironic-python-agent-fips.kernel          ironic-python-agent.kernel
      ln -s overcloud-hardened-uefi-full-fips.qcow2  overcloud-hardened-uefi-full.qcow2

      Copy to Clipboard Toggle word wrap

   5. FIPS 지원 오버클라우드 이미지를 이미지 서비스에 업로드합니다.

       openstack overcloud image upload --update-existing --whole-disk

      Copy to Clipboard Toggle word wrap
      참고

      현재 OpenStack 이미지 서비스에 이미지가 없는 경우에도 --update-existing 플래그를 사용해야 합니다.

3. 오버클라우드에서 FIPS를 활성화합니다.

   사용자 환경과 관련된 오버클라우드 배포에 맞게 템플릿을 구성합니다. fips.yaml을 포함하여 배포 명령에 모든 구성 템플릿을 포함합니다.

   openstack overcloud deploy
   ...
   -e /usr/share/openstack-tripleo-heat-templates/environents/fips.yaml

   Copy to Clipboard Toggle word wrap

1. 사용자 지정 keystone 역할을 생성합니다.

   $ openstack role create PowerUsers
   +-----------+----------------------------------+
   | Field     | Value                            |
   +-----------+----------------------------------+
   | domain_id | None                             |
   | id        | 7061a395af43455e9057ab631ad49449 |
   | name      | PowerUsers                      |
   +-----------+----------------------------------+

   Copy to Clipboard Toggle word wrap

2. 기존 사용자를 역할에 추가하고 프로젝트에 역할을 할당합니다.

   $ openstack role add --project [PROJECT_NAME] --user [USER_ID] [PowerUsers-ROLE_ID]

   Copy to Clipboard Toggle word wrap
   참고

   역할 할당은 하나의 프로젝트와만 페어링됩니다. 즉, 사용자에게 역할을 할당할 때 동시에 대상 프로젝트도 정의합니다. 사용자가 동일한 역할을 수신하도록 하려면 다른 프로젝트에 대해 역할을 다시 할당해야 하지만 다른 프로젝트를 대상으로 하는 경우 역할을 다시 할당해야 합니다.

3. 기본 nova 정책 설정을 확인합니다.

   $ oslopolicy-policy-generator --namespace nova

   Copy to Clipboard Toggle word wrap

4. /var/lib/config-data/puppet-generated/nova/etc/nova/policy.json 에 다음 항목을 추가하여 새 PowerUsers 역할에 대한 사용자 지정 권한을 생성합니다.

   참고

   배포 전에 정책 변경 사항을 테스트하여 예상대로 작동하는지 확인합니다.

   {
   "os_compute_api:servers:start": "role:PowerUsers",
   "os_compute_api:servers:stop": "role:PowerUsers",
   "os_compute_api:servers:create:attach_volume": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:index": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:create": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:show": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:update": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:delete": "role:PowerUsers"
   }

   Copy to Clipboard Toggle word wrap

   이 파일을 저장할 때 변경 사항을 구현하고 nova 컨테이너를 다시 시작합니다. PowerUsers keystone 역할에 추가된 사용자에게는 이러한 권한이 부여됩니다.

프로세스

1. openstack role list 명령을 실행하여 현재 환경에 있는 역할을 확인합니다.

   openstack role list -c Name -f value
   
   swiftoperator
   ResellerAdmin
   admin
   _member_
   heat_stack_user

   Copy to Clipboard Toggle word wrap

2. openstack role assignment list 명령을 실행하여 특정 역할의 멤버인 모든 사용자를 나열합니다. 예를 들어 admin 역할이 있는 모든 사용자를 보려면 다음을 실행합니다.

   $ openstack role assignment list --names --role admin
   +-------+------------------------------------+-------+-----------------+------------+--------+-----------+
   | Role  | User                               | Group | Project         | Domain     | System | Inherited |
   +-------+------------------------------------+-------+-----------------+------------+--------+-----------+
   | admin | heat-cfn@Default                   |       | service@Default |            |        | False     |
   | admin | placement@Default                  |       | service@Default |            |        | False     |
   | admin | neutron@Default                    |       | service@Default |            |        | False     |
   | admin | zaqar@Default                      |       | service@Default |            |        | False     |
   | admin | swift@Default                      |       | service@Default |            |        | False     |
   | admin | admin@Default                      |       | admin@Default   |            |        | False     |
   | admin | zaqar-websocket@Default            |       | service@Default |            |        | False     |
   | admin | heat@Default                       |       | service@Default |            |        | False     |
   | admin | ironic-inspector@Default           |       | service@Default |            |        | False     |
   | admin | nova@Default                       |       | service@Default |            |        | False     |
   | admin | ironic@Default                     |       | service@Default |            |        | False     |
   | admin | glance@Default                     |       | service@Default |            |        | False     |
   | admin | mistral@Default                    |       | service@Default |            |        | False     |
   | admin | heat_stack_domain_admin@heat_stack |       |                 | heat_stack |        | False     |
   | admin | admin@Default                      |       |                 |            | all    | False     |
   +-------+------------------------------------+-------+-----------------+------------+--------+-----------+

   Copy to Clipboard Toggle word wrap
   참고

   -f {csv,json,table,value,yaml} 매개변수를 사용하여 이러한 결과를 내보낼 수 있습니다.

절차

1. 원하는 역할에서 사용자의 인증 파일을 가져와 시작합니다.

2. Keystone에서 생성된 토큰을 캡처하고 파일에 저장합니다. openstack-cli 명령을 실행하고 제공된 토큰을 stdout에 출력하는 --debug 옵션을 사용하여 이 작업을 수행할 수 있습니다. 이 토큰을 복사하여 액세스 파일에 저장할 수 있습니다. 다음 명령을 사용하여 이를 단일 단계로 수행합니다.

   openstack token issue --debug 2>&1 | egrep ^'{\"token\":' > access.file.json

   Copy to Clipboard Toggle word wrap

3. 정책 파일을 생성합니다. 이는 관심 있는 컨테이너화된 서비스를 호스팅하는 오버클라우드 노드에서 수행할 수 있습니다. 다음 예제에서는 cinder 서비스에 대한 정책 파일을 생성합니다.

   ssh tripleo-admin@CONTROLLER-1 sudo podman exec cinder_api \
   oslopolicy-policy-generator \
   --config-file /etc/cinder/cinder.conf \
   --namespace cinder > cinderpolicy.json

   Copy to Clipboard Toggle word wrap

4. 이러한 파일을 사용하여 cinder의 API에 액세스하기 위해 해당 역할을 감사할 수 있습니다.

   oslopolicy-checker --policy cinderpolicy.json --access access.file.json

   Copy to Clipboard Toggle word wrap

프로세스

1. Red Hat OpenStack의 인증된 하드웨어를 확인하여 하드웨어가 지원되는지 확인합니다.

2. 하드웨어 가상화가 사용 가능하고 활성화되어 있는지 확인합니다.

   cat /proc/cpuinfo | egrep "vmx|svm"

   Copy to Clipboard Toggle word wrap
3. 하드웨어 플랫폼에서 모든 펌웨어가 최신 상태인지 확인합니다. 자세한 내용은 하드웨어 벤더 설명서를 참조하십시오.

프로세스

1. nova_compute 컨테이너에 마운트된 nova.conf 구성 파일을 편집합니다. debug 매개변수의 값을 True 로 설정합니다.

   $ sudo sed -i 's/^debug=.*/debug=True' \
   /var/lib/config-data/puppet-generated/nova/etc/nova/nova.conf

   Copy to Clipboard Toggle word wrap
   주의

   OpenStack 파일의 구성 파일은 [DEFAULT] 및 [database] 와 같은 여러 섹션이 있는 ini 파일입니다. 각 섹션에 고유한 매개 변수는 전체 파일에서 고유하지 않을 수 있습니다. sed 를 주의해서 사용합니다. egrep -v "^$|^#" [configuration_file] | grep [ parameter ]를 실행하여 구성 파일에서 매개변수가 두 번 이상 표시되는지 확인할 수 있습니다.

2. nova 컨테이너를 다시 시작합니다.

   sudo podman restart nova_compute

   Copy to Clipboard Toggle word wrap

프로세스

1. libvirt-keysize. yaml 이라는 새 yaml 템플릿을 생성하고 LibvirtCertificateKeySize 매개변수를 사용하여 기본값을 2048 에서 4096 으로 늘립니다.

   cat > /home/stack/templates/libvirt-keysize.yaml
   parameter_defaults:
           LibvirtCertificateKeySize: 4096
   EOF

   Copy to Clipboard Toggle word wrap

2. libvirt-keysize.yaml 구성 파일을 배포 스크립트에 추가합니다.

   openstack overcloud deploy --templates \
   ...
   -e /home/stack/templates/libvirt-keysize.yaml
   ...

   Copy to Clipboard Toggle word wrap

3. 배포 스크립트를 다시 실행합니다.

   ./deploy.sh

   Copy to Clipboard Toggle word wrap

1. 매번 동일한 속성을 반복적으로 사용하지 않도록 TripleORules 라는 별칭이 선언됩니다.
2. 별칭은 p+sha256 의 속성을 수신합니다. AIDE 용어로 다음과 같은 지침이 표시됩니다. sha256 의 무결성 체크섬을 사용하여 모든 파일 권한 p 를 모니터링합니다.

1. 설정을 /home/stack/templates/ 디렉터리에 aide.yaml 이라는 파일로 저장합니다.
2. aide.yaml 환경 파일을 편집하여 환경에 적합한 매개변수와 값을 지정합니다.

3. 환경과 관련된 기타 필요한 모든 heat 템플릿 및 환경 파일과 함께 openstack overcloud deploy 명령에 /home/stack/templates/aide.yaml 환경 파일을 포함합니다.

   openstack overcloud deploy --templates
   ...
   -e /home/stack/templates/aide.yaml

   Copy to Clipboard Toggle word wrap

프로세스

1. 템플릿의 parameter_defaults 아래에 HorizonAllowedHosts 매개변수 값을 설정합니다.

   parameter_defaults:
       HorizonAllowedHosts: <value>

   Copy to Clipboard Toggle word wrap

   & lt;value >를 OpenStack 대시보드에서 제공하는 FQDN으로 바꿉니다.

2. 수정된 템플릿과 사용자 환경에 필요한 기타 모든 템플릿을 사용하여 오버클라우드를 배포합니다.

1. ssh 를 사용하여 컨트롤러에 연결합니다.

   $ ssh tripleo-admin@controller-0

   Copy to Clipboard Toggle word wrap

2. SECURE_PROXY_SSL_HEADER 매개변수의 값이 ('HTTP_X_FORWARDED_PROTO')인 'https') 인지 확인합니다.

   sudo egrep ^SECURE_PROXY_SSL_HEADER /var/lib/config-data/puppet-generated/horizon/etc/openstack-dashboard/local_settings
   SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')

   Copy to Clipboard Toggle word wrap

프로세스

1. 암호 검증을 위해 정규식과 실패한 테스트에 표시할 도움말 텍스트를 지정합니다. 다음 예제에서는 사용자가 8~18자 사이의 암호를 생성해야 합니다.

1. 이 변경 사항을 배포에 적용합니다. 설정을 horizon_password.yaml 이라는 파일로 저장한 다음 다음과 같이 overcloud deploy 명령에 전달합니다. & lt;full environment >는 원래 배포 매개변수를 모두 포함해야 함을 나타냅니다. 예를 들면 다음과 같습니다.

프로세스

1. {% 가 'auth/_login.html' %} 섹션 바로 앞에 필요한 로그온 배너를 입력합니다. HTML 태그를 사용할 수 있습니다.

   <snip>
   <div class="container">
     <div class="row-fluid">
       <div class="span12">
         <div id="brand">
           <img src="../../static/themes/rcue/images/RHOSP-Login-Logo.svg">
         </div><!--/#brand-->
       </div><!--/.span*-->
   
       <!-- Start of Logon Banner -->
       <p>Authentication to this information system reflects acceptance of user monitoring agreement.</p>
       <!-- End of Logon Banner -->
   
       {% include 'auth/_login.html' %}
     </div><!--/.row-fluid→
   </div><!--/.container-->
   
   {% block js %}
     {% include "horizon/_scripts.html" %}
   {% endblock %}
   
     </body>
   </html>

   Copy to Clipboard Toggle word wrap