第 6 章轮转服务帐户密码

您可以定期轮转服务帐户密码，以提高安全状态。

6.1. overcloud 密码管理概述
复制链接

在 overcloud 上运行的 OpenStack 服务通过其 Identity 服务(keystone)凭据进行身份验证。这些密码在初始部署过程中生成，并定义为 heat 参数。例如：

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

Copy to Clipboard

Toggle word wrap

您可以使用 Workflow 服务(mistral)工作流轮转服务帐户使用的密码。但是，如果密码列在 DO_NOT_ROTATE 中，则不会轮转密码，如密钥加密密钥(KEK)和 Fernet 密钥：

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

Copy to Clipboard

Toggle word wrap

出于以下原因，这些密码位于 DO_NOT_ROTATE 列表中：

BarbicanSimpleCryptoKek - 更改此密码要求您重新加密所有 secret。
KeystoneFernetKey 和 KeystoneCredential - 已存在独立的工作流来轮转它们。如需更多信息，请参阅使用工作流服务轮转 Fernet 密钥。

返回顶部

第 6 章轮转服务帐户密码

6.1. overcloud 密码管理概述
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章 轮转服务帐户密码

6.1. overcloud 密码管理概述复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章轮转服务帐户密码

6.1. overcloud 密码管理概述
复制链接