第 4 章轮转服务帐户密码

您可以定期轮转服务帐户密码，以提高您的安全状况。

4.1. overcloud 密码管理概述
复制链接

在 overcloud 上运行的 OpenStack 服务通过其身份服务(keystone)凭据进行身份验证。这些密码在初始部署过程中生成，并定义为 heat 参数。例如：

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

Copy to Clipboard

Toggle word wrap

您可以使用工作流服务(mistral)工作流轮转服务帐户使用的密码。但是，如果密码在 DO_NOT_ROTATE 中列出，则不会轮转密码，如密钥加密密钥(KEK)和 Fernet 密钥：

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

Copy to Clipboard

Toggle word wrap

这些密码位于 DO_NOT_ROTATE 列表中，原因如下：

BarbicanSimpleCryptoKek - 更改此密码需要您重新加密所有 secret。
KeystoneFernetKey 和 KeystoneCredential - 存在独立的工作流来轮换这些。如需更多信息，请参阅 {defaultURL}/deploy_fernet_on_the_overcloud/sec-fernet#rotate_the_fernet_keys_using_mistral。

返回顶部

第 4 章轮转服务帐户密码

4.1. overcloud 密码管理概述
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 4 章 轮转服务帐户密码

4.1. overcloud 密码管理概述复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 4 章轮转服务帐户密码

4.1. overcloud 密码管理概述
复制链接