Red Hat Summit11장. Policies
각 OpenStack 서비스에는 액세스 정책에서 관리하는 리소스가 포함되어 있습니다. 예를 들어 리소스에는 다음 기능이 포함될 수 있습니다.
- 인스턴스 생성 및 시작 권한
- 인스턴스에 볼륨을 연결하는 기능
RHOSP(Red Hat OpenStack Platform) 관리자인 경우 사용자 지정 정책을 생성하여 다양한 수준의 액세스 권한이 있는 새 역할을 도입하거나 기존 역할의 기본 동작을 변경할 수 있습니다.
Red Hat은 사용자 지정 역할 또는 정책을 지원하지 않습니다. 구문 오류 또는 잘못된 권한 부여는 보안 또는 유용성에 부정적인 영향을 미칠 수 있습니다. 프로덕션 환경에서 사용자 지정 역할 또는 정책이 필요한 경우 지원 예외는 Red Hat 지원팀에 문의하십시오.
11.1. 기존 정책 검토
서비스의 정책 파일은 일반적으로 /etc/$service 디렉터리에 존재합니다. 예를 들어 Compute(nova)에 대한 policy.json 파일의 전체 경로는 /etc/nova/policy.json 입니다.
기존 정책을 찾는 방법에 영향을 미치는 두 가지 중요한 아키텍처 변경 사항이 있습니다.
Red Hat OpenStack Platform은 이제 컨테이너화되었습니다.
서비스 컨테이너 내부에서 이를 확인하는 경우 정책 파일이 기존 경로에 있습니다.
/etc/$service/policy.json
서비스 컨테이너 외부에서 해당 파일을 보면 정책 파일이 다음 경로에 있습니다.
/var/lib/config-data/puppet-generated/$service/etc/$service/policy.json
각 서비스에는 코드로 제공되는 기본 정책, 수동으로 생성한 경우에만 사용 가능한 파일이 있거나
oslopolicy툴링을 사용하여 생성되는 경우 사용할 수 있습니다. 정책 파일을 생성하려면 다음 예와 같이 컨테이너 내에서oslopolicy-policy-generator를 사용합니다.podman exec -i keystone oslopolicy-policy-generator --namespace keystone
기본적으로 생성된 정책은 oslo.policy CLI 툴에 의해 stdout으로 푸시됩니다.
