Red Hat Summit8장. 오버클라우드의 암호화를 위해 Cryostat 키 사용
Cryostat는 uuid 를 대체하는 기본 토큰 공급자입니다. Cryostat 배포를 검토하고 Cryostat 키를 순환할 수 있습니다. Cryostat는 /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys 에 저장된 세 가지 유형의 키를 사용합니다. 번호가 가장 높은 디렉터리에는 새 토큰을 생성하고 기존 토큰을 해독하는 기본 키가 포함되어 있습니다.
Cryostat 키 교체는 다음 프로세스를 사용합니다.
- 기본 키는 보조 키가 됩니다.
- <system>은 새 기본 키를 발행합니다. 나가는 기본 키는 더 이상 유효하지 않습니다. 보조 키를 사용하여 이전 기본 키와 연결된 토큰의 암호를 해독할 수 있지만 새 토큰을 발행할 수는 없습니다.
키 교체 주기 길이를 결정하는 경우 조직의 보안 상태를 따르십시오. 조직에 지침이 없는 경우 보안상의 이유로 월간 순환 주기를 사용하는 것이 좋습니다.
8.1. Cryostat 배포 검토
링크 복사링크가 클립보드에 복사되었습니다!
Cryostat 토큰이 올바르게 작동하는지 테스트하려면 컨트롤러 노드의 IP 주소를 검색하고 컨트롤러 노드에 SSH를 연결하고 토큰 드라이버 및 공급자 설정을 검토합니다.
절차
컨트롤러 노드의 IP 주소를 검색합니다.
[stack@director ~]$ source ~/stackrc [stack@director ~]$ openstack server list --------------------------------------------------------------------------------------------+ | ID | Name | Status | Networks | --------------------------------------------------------------------------------------------+ | 756fbd73-e47b-46e6-959c-e24d7fb71328 | overcloud-controller-0 | ACTIVE | ctlplane=192.0.2.16 | | 62b869df-1203-4d58-8e45-fac6cd4cfbee | overcloud-novacompute-0 | ACTIVE | ctlplane=192.0.2.8 | --------------------------------------------------------------------------------------------+컨트롤러 노드에 SSH를 실행합니다.
[tripleo-admin@overcloud-controller-0 ~]$ ssh tripleo-admin@192.0.2.16토큰 드라이버 및 공급자 설정의 값을 검색합니다.
[tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf token driver sql [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf token provider fernetCryostat 공급자를 테스트합니다.
[tripleo-admin@overcloud-controller-0 ~]$ exit [stack@director ~]$ source ~/overcloudrc [stack@director ~]$ openstack token issue -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Field | Value | -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | expires | 2016-09-20 05:26:17+00:00 | | id | gAAAAABX4LppE8vaiFZ992eah2i3edpO1aDFxlKZq6a_RJzxUx56QVKORrmW0-oZK3-Xuu2wcnpYq_eek2SGLz250eLpZOzxKBR0GsoMfxJU8mEFF8NzfLNcbuS-iz7SV-N1re3XEywSDG90JcgwjQfXW-8jtCm-n3LL5IaZexAYIw059T_-cd8 | | project_id | 26156621d0d54fc39bf3adb98e63b63d | | user_id | 397daf32cadd490a8f3ac23a626ac06c | -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+결과에는 long Cryostat 토큰이 포함됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}