22.2. 대기열 인증 및 액세스 제어
RabbitMQ 및 Cryostat는 큐에 대한 액세스를 제어하기 위한 인증 및 액세스 제어 메커니즘을 제공합니다.
SASL(Simple Authentication and Security Layer)은 인터넷 프로토콜의 인증 및 데이터 보안을 위한 프레임워크입니다. RabbitMQ와 Cryostat 모두 단순한 사용자 이름과 암호 이외의 SASL 및 기타 플러그형 인증 메커니즘을 제공하여 인증 보안을 강화할 수 있습니다. RabbitMQ는 SASL을 지원하지만 OpenStack의 지원은 현재 특정 SASL 인증 메커니즘을 요청할 수 없습니다. OpenStack의 RabbitMQ 지원은 X.509 클라이언트 인증서와 함께 암호화되지 않은 연결 또는 사용자 이름 및 암호를 통해 사용자 이름과 암호 인증을 사용하여 보안 TLS 연결을 설정할 수 있습니다.
메시징 큐에 대한 클라이언트 연결을 위해 모든 OpenStack 서비스 노드에 X.509 클라이언트 인증서를 구성하는 것이 좋습니다. 가능한 경우 (현재만) X.509 클라이언트 인증서로 인증을 수행하는 것이 좋습니다. 사용자 이름과 암호를 사용하는 경우 큐에 대한 액세스 권한을 세밀하게 감사할 수 있도록 서비스 및 노드별로 계정을 생성해야 합니다.
배포하기 전에 대기열 서버가 사용하는 TLS 라이브러리를 고려하십시오. Cryostat는 Mozilla의 NSS 라이브러리를 사용하지만 RabbitMQ는 OpenSSL을 사용하는 Erlang의 TLS 모듈을 사용합니다.