23.7. HAProxy에 대한 SSL/TLS 암호화 및 규칙 변경

오버클라우드에서 SSL/TLS를 활성화한 경우 HAProxy 구성에 사용되는 SSL/TLS 암호화 방식 및 규칙을 강화하는 것이 좋습니다. SSL/TLS 암호를 강화하면 POODLE 취약점과 같은 SSL/TLS 취약점을 방지할 수 있습니다.

환경 파일에서 ExtraConfig 후크를 사용하여 tripleo::haproxy::ssl_options hieradata에 값을 적용합니다.

parameter_defaults:
  ExtraConfig:
    # TLSv1.3 configuration
    tripleo::haproxy::ssl_options:: 'ssl-min-ver TLSv1.3'

parameter_defaults:
  ExtraConfig:
    # TLSv1.3 configuration
    tripleo::haproxy::ssl_options:: 'ssl-min-ver TLSv1.3'

Copy to Clipboard

Toggle word wrap

오버클라우드를 배포할 때 overcloud deploy 명령을 사용하여 tls-ciphers.yaml 환경 파일을 포함합니다.

openstack overcloud deploy --templates \
...
-e /home/stack/templates/tls-ciphers.yaml
...

openstack overcloud deploy --templates \
...
-e /home/stack/templates/tls-ciphers.yaml
...

Copy to Clipboard

Toggle word wrap

맨 위로 이동