红帽全球峰会1.2. OpenStack Key Manager 加密类型
证书、API 密钥和密码等 secret 可以存储在 barbican 数据库中的加密 blob 中,或者直接存储在安全存储系统中。您可以使用简单的加密插件或 PKCS the 加密插件来加密 secret。
要将 secret 存储为加密 blob 在 barbican 数据库中,可以使用以下选项:
-
简单的加密插件 - 默认启用简单的加密插件,并使用单个对称密钥加密所有机密有效负载。这个密钥以纯文本形式存储在
barbican.conf文件中,因此防止未经授权的访问此文件非常重要。 PKCS这个加密插件 - PKCS the crypto 插件使用特定于项目的密钥加密密钥(pKEK)加密 secret,这些密钥存储在 barbican 数据库中。这些项目特定的 pKEK 由主密钥密钥(MKEK)加密,后者存储在硬件安全模块(HSM)中。所有加密和解密操作都会在 HSM 中进行,而不是在进程内存中进行。PKCS the 插件通过 PKCS the API 与 HSM 通信。由于加密是在安全硬件中完成的,并且每个项目使用了不同的 pKEK,所以此选项比简单的加密插件更安全。
红帽支持带有以下任何 HSM 的 PKCS the 后端。
Expand 设备 发行版本支持 高可用性(HA)支持 Eviden Trustway Proteccio NetHSM
16.x, 17.x
16.1+, 17.x
Entrust nShield Connect HSM
16.x, 17.x
不支持
Thales Luna Network HSM
16.1+, 17.x, 18.0.6+
16.1+, 17.x, 18.0.6+
注意关于高可用性(HA)选项:barbican 服务在 Apache 中运行,并由 director 配置为使用 HAProxy 来实现高可用性。后端层的 HA 选项将取决于所使用的后端。例如,对于简单加密,所有 barbican 实例在配置文件中具有相同的加密密钥,从而导致简单的 HA 配置。
1.2.1. 配置多个加密机制
您可以将单个 Barbican 实例配置为使用多个后端。完成后,您必须将后端指定为 全局默认后端。您还可以为每个项目指定默认后端。如果项目不存在映射,则该项目的 secret 将使用全局默认后端存储。
例如,您可以将 Barbican 配置为使用 Simple crypto 和 PKCS the 插件。如果将 Simple crypto 设为全局默认值,则所有项目使用该后端。然后,您可以通过将 PKCS the 设置为该项目的首选后端来指定哪些项目使用 PKCS the 后端。
如果您决定迁移到新后端,您可以在启用新后端作为全局默认值或项目特定后端时保持原始可用。因此,旧的 secret 通过旧后端仍然可用,新 secret 存储在新的全局默认后端中。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}