Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

18.5. API 端点进程隔离和策略

您可以隔离 API 端点进程以提高安全性。考虑在单独的主机上的公共安全域中部署 API 端点,以提高隔离。

18.5.1. 配置策略来限制 metadef API
复制链接

在 Red Hat OpenStack Platform (RHOSP)中,用户可以使用元数据定义(metadef) API 定义键值对和标记元数据。目前,用户可以创建的元数据命名空间、对象、属性、资源或标签数量的限制。

metadef API 可能会泄漏未授权用户的信息。一个恶意的用户可以利用缺少限制,并填充具有无限资源的镜像服务(glance)数据库,从而可以创建一系列服务(DoS)攻击。

镜像服务策略控制 metadef API。但是,Metadef API 的默认策略设置允许所有用户创建或读取 metadef 信息。因为 metadef 资源没有隔离到所有者,所以具有可能敏感名称的 metadef 资源(如内部基础架构详情或客户名称)可以将这些信息公开给恶意用户。

要使镜像服务(glance)更加安全,请在 Red Hat OpenStack Platform (RHOSP)部署中将 metadef 修改 API 限制为 admin-only 访问权限。

流程

  1. 作为云管理员,创建单独的 heat 模板环境文件,如 lock-down-glance-metadef-api.yaml,使其包含镜像服务 metadef API 的策略覆盖: 

    ...
parameter_defaults:
  GlanceApiPolicies: {
        glance-metadef_default: { key: 'metadef_default', value: '' },
        glance-metadef_admin: { key: 'metadef_admin', value: 'role:admin' },
        glance-get_metadef_namespace: { key: 'get_metadef_namespace', value: 'rule:metadef_default' },
        glance-get_metadef_namespaces: { key: 'get_metadef_namespaces', value: 'rule:metadef_default' },
        glance-modify_metadef_namespace: { key: 'modify_metadef_namespace', value: 'rule:metadef_admin' },
        glance-add_metadef_namespace: { key: 'add_metadef_namespace', value: 'rule:metadef_admin' },
        glance-delete_metadef_namespace: { key: 'delete_metadef_namespace', value: 'rule:metadef_admin' },
        glance-get_metadef_object: { key: 'get_metadef_object', value: 'rule:metadef_default' },
        glance-get_metadef_objects: { key: 'get_metadef_objects', value: 'rule:metadef_default' },
        glance-modify_metadef_object: { key: 'modify_metadef_object', value: 'rule:metadef_admin' },
        glance-add_metadef_object: { key: 'add_metadef_object', value: 'rule:metadef_admin' },
        glance-delete_metadef_object: { key: 'delete_metadef_object', value: 'rule:metadef_admin' },
        glance-list_metadef_resource_types: { key: 'list_metadef_resource_types', value: 'rule:metadef_default' },
        glance-get_metadef_resource_type: { key: 'get_metadef_resource_type', value: 'rule:metadef_default' },
        glance-add_metadef_resource_type_association: { key: 'add_metadef_resource_type_association', value: 'rule:metadef_admin' },
        glance-remove_metadef_resource_type_association: { key: 'remove_metadef_resource_type_association', value: 'rule:metadef_admin' },
        glance-get_metadef_property: { key: 'get_metadef_property', value: 'rule:metadef_default' },
        glance-get_metadef_properties: { key: 'get_metadef_properties', value: 'rule:metadef_default' },
        glance-modify_metadef_property: { key: 'modify_metadef_property', value: 'rule:metadef_admin' },
        glance-add_metadef_property: { key: 'add_metadef_property', value: 'rule:metadef_admin' },
        glance-remove_metadef_property: { key: 'remove_metadef_property', value: 'rule:metadef_admin' },
        glance-get_metadef_tag: { key: 'get_metadef_tag', value: 'rule:metadef_default' },
        glance-get_metadef_tags: { key: 'get_metadef_tags', value: 'rule:metadef_default' },
        glance-modify_metadef_tag: { key: 'modify_metadef_tag', value: 'rule:metadef_admin' },
        glance-add_metadef_tag: { key: 'add_metadef_tag', value: 'rule:metadef_admin' },
        glance-add_metadef_tags: { key: 'add_metadef_tags', value: 'rule:metadef_admin' },
        glance-delete_metadef_tag: { key: 'delete_metadef_tag', value: 'rule:metadef_admin' },
        glance-delete_metadef_tags: { key: 'delete_metadef_tags', value: 'rule:metadef_admin' }
  }

…
    Copy to Clipboard Toggle word wrap

    有关策略和策略语法的详情,请参考此策略 章节

  2. 在部署 overcloud 时,包括部署命令中包含策略覆盖的环境文件,并使用 -e 选项: 

    $ openstack overcloud deploy -e lock-down-glance-metadef-api.yaml
    Copy to Clipboard Toggle word wrap

18.5.2. 启用 metadef API
复制链接

如果您之前受限元数据定义(metadef) API 或希望放松新的默认值,您可以覆盖 metadef 修改策略,以允许用户更新其对应的资源。

重要

具有依赖于对 metadef API 写入访问权限的用户的云管理员可使这些 API 可供所有用户访问。但是,在这种配置中,可能会意外泄漏敏感资源名称,如客户名称和内部项目。管理员必须审核其系统,以识别之前创建的资源,即使为所有用户只启用了读取访问权限。

流程

  1. 作为云管理员,登录 undercloud 并为策略覆盖创建一个文件。例如: 

    $ cat open-up-glance-api-metadef.yaml
    Copy to Clipboard Toggle word wrap

  2. 配置策略覆盖文件,以允许对所有用户的 metadef API 读写访问: 

    GlanceApiPolicies: {
    glance-metadef_default: { key: 'metadef_default', value: '' },
    glance-get_metadef_namespace: { key: 'get_metadef_namespace', value: 'rule:metadef_default' },
    glance-get_metadef_namespaces: { key: 'get_metadef_namespaces', value: 'rule:metadef_default' },
    glance-modify_metadef_namespace: { key: 'modify_metadef_namespace', value: 'rule:metadef_default' },
    glance-add_metadef_namespace: { key: 'add_metadef_namespace', value: 'rule:metadef_default' },
    glance-delete_metadef_namespace: { key: 'delete_metadef_namespace', value: 'rule:metadef_default' },
    glance-get_metadef_object: { key: 'get_metadef_object', value: 'rule:metadef_default' },
    glance-get_metadef_objects: { key: 'get_metadef_objects', value: 'rule:metadef_default' },
    glance-modify_metadef_object: { key: 'modify_metadef_object', value: 'rule:metadef_default' },
    glance-add_metadef_object: { key: 'add_metadef_object', value: 'rule:metadef_default' },
    glance-delete_metadef_object: { key: 'delete_metadef_object', value: 'rule:metadef_default' },
    glance-list_metadef_resource_types: { key: 'list_metadef_resource_types', value: 'rule:metadef_default' },
    glance-get_metadef_resource_type: { key: 'get_metadef_resource_type', value: 'rule:metadef_default' },
    glance-add_metadef_resource_type_association: { key: 'add_metadef_resource_type_association', value: 'rule:metadef_default' },
    glance-remove_metadef_resource_type_association: { key: 'remove_metadef_resource_type_association', value: 'rule:metadef_default' },
    glance-get_metadef_property: { key: 'get_metadef_property', value: 'rule:metadef_default' },
    glance-get_metadef_properties: { key: 'get_metadef_properties', value: 'rule:metadef_default' },
    glance-modify_metadef_property: { key: 'modify_metadef_property', value: 'rule:metadef_default' },
    glance-add_metadef_property: { key: 'add_metadef_property', value: 'rule:metadef_default' },
    glance-remove_metadef_property: { key: 'remove_metadef_property', value: 'rule:metadef_default' },
    glance-get_metadef_tag: { key: 'get_metadef_tag', value: 'rule:metadef_default' },
    glance-get_metadef_tags: { key: 'get_metadef_tags', value: 'rule:metadef_default' },
    glance-modify_metadef_tag: { key: 'modify_metadef_tag', value: 'rule:metadef_default' },
    glance-add_metadef_tag: { key: 'add_metadef_tag', value: 'rule:metadef_default' },
    glance-add_metadef_tags: { key: 'add_metadef_tags', value: 'rule:metadef_default' },
    glance-delete_metadef_tag: { key: 'delete_metadef_tag', value: 'rule:metadef_default' },
    glance-delete_metadef_tags: { key: 'delete_metadef_tags', value: 'rule:metadef_default' }
  }
    Copy to Clipboard Toggle word wrap
    注意

    您必须将所有 metadef 策略配置为使用 rule:metadef_default。有关策略和策略语法的详情,请参考此策略 章节

  3. 在部署 overcloud 时,在 deployment 命令中包含新的策略文件以及 -e 选项: 

    $ openstack overcloud deploy -e open-up-glance-api-metadef.yaml
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat