第 7 章 验证 glance 镜像
启用 Barbican 后,您可以配置镜像服务(glance),以验证已上传的镜像没有被篡改。在这种实现中,镜像首先使用存储在 barbican 中的密钥进行签名。然后,镜像会上传到 glance,以及附带的签名信息。因此,在每次使用前会验证镜像的签名,如果签名不匹配,实例构建过程会失败。
Barbican 与 glance 的集成意味着,您可以使用 openssl
命令和私钥为 glance 镜像签名,然后再上传它们。
7.1. 启用 glance 镜像验证
在您的环境文件中,使用 VerifyGlanceSignatures: True
设置启用镜像验证。您必须重新运行 openstack overcloud deploy
命令,以便此设置生效。
要验证是否已启用 glance 镜像验证,请在 overcloud Compute 节点上运行以下命令:
$ sudo crudini --get /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf glance verify_glance_signatures
注意
如果将 Ceph 用作镜像和计算服务的后端,则创建一个 CoW 克隆。因此,无法执行镜像签名验证。