安全和强化指南

流程

1. 源 stackrc ：

   $ source /home/stack/stackrc

   Copy to Clipboard Toggle word wrap

2. 运行 openstack subnet list，将分配的 ip 网络与其关联的区匹配：

   openstack subnet list -c Name -c Subnet
   +---------------------+------------------+
   | Name                | Subnet           |
   +---------------------+------------------+
   | ctlplane-subnet     | 192.168.101.0/24 |
   | storage_mgmt_subnet | 172.16.105.0/24  |
   | tenant_subnet       | 172.16.102.0/24  |
   | external_subnet     | 10.94.81.0/24    |
   | internal_api_subnet | 172.16.103.0/24  |
   | storage_subnet      | 172.16.104.0/24  |
   +---------------------+------------------+

   Copy to Clipboard Toggle word wrap

3. 运行 openstack server list 以列出您基础架构中的物理服务器：

   openstack server list -c Name -c Networks
   +-------------------------+-------------------------+
   | Name                    | Networks                |
   +-------------------------+-------------------------+
   | overcloud-controller-0  | ctlplane=192.168.101.15 |
   | overcloud-controller-1  | ctlplane=192.168.101.19 |
   | overcloud-controller-2  | ctlplane=192.168.101.14 |
   | overcloud-novacompute-0 | ctlplane=192.168.101.18 |
   | overcloud-novacompute-2 | ctlplane=192.168.101.17 |
   | overcloud-novacompute-1 | ctlplane=192.168.101.11 |
   +-------------------------+-------------------------+

   Copy to Clipboard Toggle word wrap

4. 使用 openstack server list 命令中的 ctlplane 地址查询物理节点的配置：

   ssh tripleo-admin@192.168.101.15 ip addr

   Copy to Clipboard Toggle word wrap

流程

1. 在 undercloud 节点上，以 tripleo-admin 用户身份通过 SSH 登录 overcloud 节点。
2. 通过 sudo -i 切换到 root 用户。

流程

1. 使用字符串在 ExtraFireWallRules 参数下定义每个规则名称。您可以使用规则名称下的以下参数来定义规则：

   • dport ：与规则关联的目的地端口。
   • Proto:: 与规则关联的协议。默认为 tcp。
   • action:: 与规则关联的操作策略。默认为 accept。

   • Source:: 与规则关联的源 IP 地址。

     以下示例演示了如何使用规则为自定义应用程序打开其他端口：

     cat > ~/templates/firewall.yaml <<EOF
     parameter_defaults:
       ExtraFirewallRules:
         '300 allow custom application 1':
           dport: 999
           proto: udp
         '301 allow custom application 2':
           dport: 8081
           proto: tcp
     EOF

     Copy to Clipboard Toggle word wrap
     注意

     如果没有设置 action 参数，则结果将 接受。您只能将 action 参数设置为 drop,insert, 或 append。

2. 在 openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板：

   openstack overcloud deploy --templates /
   ...
   -e /home/stack/templates/firewall.yaml /
   ....

   Copy to Clipboard Toggle word wrap

流程

1. 在 Controller 节点上，查找 rabbitmq 的默认 iptables 规则数量：

   [tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq
   ACCEPT     tcp  --  anywhere             anywhere             multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */

   Copy to Clipboard Toggle word wrap

2. 在环境文件 uder parameter_defaults 中，使用 ExtraFirewallRules 参数将 rabbitmq 限制到 InternalApi 网络。该规则的编号低于默认的 rabbitmq 规则编号或 109 ：

   cat > ~/templates/firewall.yaml <<EOF
   parameter_defaults:
     ExtraFirewallRules:
       '098 allow rabbit from internalapi network':
         dport:
         - 4369
         - 5672
         - 25672
         proto: tcp
         source: 10.0.0.0/24
       '099 drop other rabbit access':
         dport:
         - 4369
         - 5672
         - 25672
         proto: tcp
         action: drop
   EOF

   Copy to Clipboard Toggle word wrap
   注意

   如果没有设置 action 参数，则结果将 接受。您只能将 action 参数设置为 drop,insert, 或 append。

3. 在 openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板：

   openstack overcloud deploy --templates /
   ...
   -e /home/stack/templates/firewall.yaml /
   ....

   Copy to Clipboard Toggle word wrap

流程

1. 检查您的部署的现有模板，以查找用于指定当前正在使用的角色的文件。在您的环境中使用的每个角色都有一个 NIC 配置文件。在以下示例中，RHOSP 环境包括 ComputeHCI 角色、Compute 角色和 Controller 角色：

   $ cd ~/templates
   $ tree
   .
   ├── environments
   │   └── network-environment.yaml
   ├── hci.yaml
   ├── network
   │   └── config
   │       └── multiple-nics
   │           ├── computehci.yaml
   │           ├── compute.yaml
   │           └── controller.yaml
   ├── network_data.yaml
   ├── plan-environment.yaml
   └── roles_data_hci.yaml

   Copy to Clipboard Toggle word wrap

2. RHOSP 环境的每个角色执行许多相互相关的服务。您可以通过检查 roles 文件来记录各个角色使用的服务。

   1. 如果为您的模板生成了一个 roles 文件，您可以在 ~/templates 目录中找到该文件：

      $ cd ~/templates
      $ find . -name *role*
      > ./templates/roles_data_hci.yaml

      Copy to Clipboard Toggle word wrap

   2. 如果没有为您的模板生成 roles 文件，您可以为当前用于检查文档的角色生成一个角色：

      $ openstack overcloud roles generate \
      > --roles-path /usr/share/openstack-tripleo-heat-templates/roles \
      > -o roles_data.yaml Controller Compute

      Copy to Clipboard Toggle word wrap

流程

1. 从 undercloud 中，提供 stackrc 文件：

   $ source ~/stackrc

   Copy to Clipboard Toggle word wrap

2. 列出环境中的节点：

   $ openstack baremetal node list -c Name
   +--------------+
   | Name         |
   +--------------+
   | controller-0 |
   | controller-1 |
   | controller-2 |
   | compute-0    |
   | compute-1    |
   | compute-2    |
   +--------------+

   Copy to Clipboard Toggle word wrap

3. 对于从其收集信息的每个裸机节点，并运行以下命令来检索内省数据：

   $ openstack baremetal introspection data save <node> | jq

   Copy to Clipboard Toggle word wrap

   将 <node > 替换为在第 1 步中检索的列表中的节点名称。

4. 可选： 要将输出限制为特定类型的硬件，您可以检索清单密钥列表并查看特定密钥的内省数据：

   1. 运行以下命令，从内省数据获取顶层密钥列表：

      $ openstack baremetal introspection data save controller-0 | jq '.inventory | keys'
      
      [
        "bmc_address",
        "bmc_v6address",
        "boot",
        "cpu",
        "disks",
        "hostname",
        "interfaces",
        "memory",
        "system_vendor"
      ]

      Copy to Clipboard Toggle word wrap

   2. 选择一个键，如 disks，并运行以下命令以获取更多信息：

      $ openstack baremetal introspection data save controller-1 | jq '.inventory.disks'
      [
        {
          "name": "/dev/sda",
          "model": "QEMU HARDDISK",
          "size": 85899345920,
          "rotational": true,
          "wwn": null,
          "serial": "QM00001",
          "vendor": "ATA",
          "wwn_with_extension": null,
          "wwn_vendor_extension": null,
          "hctl": "0:0:0:0",
          "by_path": "/dev/disk/by-path/pci-0000:00:01.1-ata-1"
        }
      ]

      Copy to Clipboard Toggle word wrap

流程

1. 确定您知道可能受到恶意活动影响的系统和服务的入口点。在 undercloud 上运行以下命令：

   $ cat /etc/hosts
   $ source stackrc ; openstack endpoint list
   $ source overcloudrc ; openstack endpoint list

   Copy to Clipboard Toggle word wrap

2. RHOSP 部署到容器化服务中，因此您可以通过检查该节点上运行的容器来查看 overcloud 节点上的软件组件。使用 ssh 连接到 overcloud 节点并列出正在运行的容器。例如，若要查看 compute-0 上的 overcloud 服务，请运行类似如下的命令：

   $ ssh tripleo-admin@compute-0 podman ps

   Copy to Clipboard Toggle word wrap

1. 配置 /etc/resolv.conf 文件：

   在 /etc/resolv.conf 中设置适当的搜索域和 undercloud 名称服务器。例如，如果部署域是 example.com，而 FreeIPA 服务器的域是 bigcorp.com，则将以下行添加到 /etc/resolv.conf 中：

   search example.com bigcorp.com
   nameserver $IDM_SERVER_IP_ADDR

   Copy to Clipboard Toggle word wrap

2. 安装所需的软件：

   sudo dnf install -y python3-ipalib python3-ipaclient krb5-devel

   Copy to Clipboard Toggle word wrap

3. 使用特定于您的环境的值导出环境变量。

   export IPA_DOMAIN=bigcorp.com
   export IPA_REALM=BIGCORP.COM
   export IPA_ADMIN_USER=$IPA_USER 

   1

   
   export IPA_ADMIN_PASSWORD=$IPA_PASSWORD 

   2

   
   export IPA_SERVER_HOSTNAME=ipa.bigcorp.com
   export UNDERCLOUD_FQDN=undercloud.example.com 

   3

   
   export USER=stack
   export CLOUD_DOMAIN=example.com

   Copy to Clipboard Toggle word wrap

   1 2

   IdM 用户凭证是一个管理用户，可以添加新的主机和服务。

   3

   UNDERCLOUD_FQDN 参数的值与 /etc/hosts 中的第一个主机名到 IP 地址映射匹配。

4. 在 undercloud 上运行 undercloud-ipa-install.yaml ansible playbook：

   ansible-playbook \
   --ssh-extra-args "-o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null" \
   /usr/share/ansible/tripleo-playbooks/undercloud-ipa-install.yaml

   Copy to Clipboard Toggle word wrap

5. 在 undercloud.conf 中添加以下参数

   undercloud_nameservers = $IDM_SERVER_IP_ADDR
   overcloud_domain_name = example.com

   Copy to Clipboard Toggle word wrap

6. [可选] 如果您的 IPA 域与您的 IPA 域不匹配，请设置 certmonger_krb_realm 参数的值：

   1. 在 /home/stack/hiera_override.yaml 中设置 certmonger_krb_realm 的值：

      parameter_defaults:
        certmonger_krb_realm = EXAMPLE.COMPANY.COM

      Copy to Clipboard Toggle word wrap

   2. 将 undercloud.conf 中的 custom_env_files 参数的值设置为 /home/stack/hiera_override.yaml ：

      custom_env_files = /home/stack/hiera_override.yaml

      Copy to Clipboard Toggle word wrap

7. 部署 undercloud：

   openstack undercloud install

   Copy to Clipboard Toggle word wrap

1. 列出 IdM 中的主机：

   $ kinit admin
   $ ipa host-find

   Copy to Clipboard Toggle word wrap

2. 确认 undercloud 上是否存在 /etc/novajoin/krb5.keytab。

   ls /etc/novajoin/krb5.keytab

   Copy to Clipboard Toggle word wrap

1. 在部署 overcloud 之前，创建一个 YAML 文件 tls-parameters.yaml，其内容类似于以下内容：您选择的值将特定于您的环境：

   parameter_defaults:
       DnsSearchDomains: ["example.com"]
       CloudDomain: example.com
       CloudName: overcloud.example.com
       CloudNameInternal: overcloud.internalapi.example.com
       CloudNameStorage: overcloud.storage.example.com
       CloudNameStorageManagement: overcloud.storagemgmt.example.com
       CloudNameCtlplane: overcloud.ctlplane.example.com
       IdMServer: freeipa-0.redhat.local
       IdMDomain: redhat.local
       IdMInstallClientPackages: False
   
   resource_registry:
         OS::TripleO::Services::IpaClient: /usr/share/openstack-tripleo-heat-templates/deployment/ipa/ipaservices-baremetal-ansible.yaml

   Copy to Clipboard Toggle word wrap
   • 显示的 OS::TripleO::Services::IpaClient 参数的值覆盖 enable-internal-tls.yaml 文件中的默认设置。您必须在 openstack overcloud deploy 命令中确保 tls-parameters.yaml 文件遵循 enable-internal-tls.yaml。
   • 有关实现 TLS-e 的参数的更多信息，请参阅 tripleo-ipa 的参数。

2. 部署 overcloud。您需要在部署命令中包含 tls-parameters.yaml ：

   DEFAULT_TEMPLATES=/usr/share/openstack-tripleo-heat-templates/
   CUSTOM_TEMPLATES=/home/stack/templates
   
   openstack overcloud deploy \
   -e ${DEFAULT_TEMPLATES}/environments/ssl/tls-everywhere-endpoints-dns.yaml \
   -e ${DEFAULT_TEMPLATES}/environments/services/haproxy-public-tls-certmonger.yaml \
   -e ${DEFAULT_TEMPLATES}/environments/ssl/enable-internal-tls.yaml \
   -e ${CUSTOM_TEMPLATES}/tls-parameters.yaml \
   ...

   Copy to Clipboard Toggle word wrap

3. 通过查询 keystone 以获取端点列表来确认每个端点正在使用 HTTPS：

   openstack endpoint list

   Copy to Clipboard Toggle word wrap

1. 创建名为 memcached.yaml 的环境文件，其中包含以下内容，以添加 memcached 的 TLS 支持：

   parameter_defaults:
       MemcachedTLS: true
       MemcachedPort: 11212

   Copy to Clipboard Toggle word wrap

2. 在 overcloud 部署过程中包含 memcached.yaml 环境文件：

   openstack overcloud deploy --templates \
   -e /usr/share/openstack-tripleo-heat-templates/environments/ssl/enable-internal-tls.yaml \
   -e /usr/share/openstack-tripleo-heat-templates/environments/ssl/tls-everywhere-endpoints-dns.yaml \
   -e /usr/share/openstack-tripleo-heat-templates/environments/services/haproxy-public-tls-certmonger.yaml \
   -e /home/stack/memcached.yaml
   ...

   Copy to Clipboard Toggle word wrap

流程

1. 在每个 overcloud 节点上，编辑 /etc/ipa/default.conf 配置文件，以确保 server 和 xmlrpc_uri 参数包含 IdM 服务器的完全限定域名(FQDN)：

   #File modified by ipa-client-install
   
   [global]
   basedn = dc=redhat,dc=local
   realm = REDHAT.LOCAL
   domain = redhat.local
   server = freeipa-0.redhat.local
   host = undercloud-0.redhat.local
   xmlrpc_uri = https://freeipa-0.redhat.local/ipa/xml
   enable_ra = True

   Copy to Clipboard Toggle word wrap

2. 在 undercloud 上，编辑 /home/stack/templates/tls-parameters.yaml 环境文件，并确保 IPA_SERVER_HOSTNAME 参数与 /etc/ipa/default.conf 中的 xmlrpc_uri 和 server 参数中显示的 FQDN 匹配。确保所有参数都与您的环境匹配：

   export IPA_DOMAIN=bigcorp.com
   export IPA_REALM=BIGCORP.COM
   export IPA_ADMIN_USER=$IPA_USER
   export IPA_ADMIN_PASSWORD=$IPA_PASSWORD
   export IPA_SERVER_HOSTNAME=ipa.bigcorp.com
   export UNDERCLOUD_FQDN=undercloud.example.com
   export USER=stack
   export CLOUD_DOMAIN=example.com

   Copy to Clipboard Toggle word wrap

流程

1. /etc/pki/CA/index.txt 文件包含所有签名证书的记录。请确定文件系统路径和 index.txt 文件已存在：

   $ sudo mkdir -p /etc/pki/CA
   $ sudo touch /etc/pki/CA/index.txt

   Copy to Clipboard Toggle word wrap

2. /etc/pki/CA/serial 文件标识下一个序列号，以用于下一个要签名的证书。检查是否存在此文件。如果此文件不存在，则使用新启动值创建新文件：

   $ echo '1000' | sudo tee /etc/pki/CA/serial

   Copy to Clipboard Toggle word wrap

流程

1. 生成密钥和证书对以充当证书颁发机构：

   $ openssl genrsa -out ca.key.pem 4096
   $ openssl req  -key ca.key.pem -new -x509 -days 7300 -extensions v3_ca -out ca.crt.pem

   Copy to Clipboard Toggle word wrap
2. openssl req 命令会要求输入认证机构的详细信息。根据提示输入相关信息。这些命令创建一个称为 ca.crt.pem 的证书颁发机构文件。

3. 在 enable-tls.yaml 文件中，将证书位置设置为 PublicTLSCAFile 参数的值。当您将证书位置设置为 PublicTLSCAFile 参数的值时，请确保将 CA 证书路径添加到 clouds.yaml 身份验证文件中。

   parameter_defaults:
       PublicTLSCAFile: /etc/pki/ca-trust/source/anchors/cacert.pem

   Copy to Clipboard Toggle word wrap

流程

1. 将证书颁发机构复制到客户端系统：

   $ sudo cp ca.crt.pem /etc/pki/ca-trust/source/anchors/

   Copy to Clipboard Toggle word wrap

2. 将证书颁发机构文件复制到每个客户端后，在每个客户端上运行以下命令，将证书添加到证书颁发机构信任捆绑包中：

   $ sudo update-ca-trust extract

   Copy to Clipboard Toggle word wrap

流程

1. 运行以下命令以生成 SSL/TLS 密钥 (server.key.pem)：

   $ openssl genrsa -out server.key.pem 2048

   Copy to Clipboard Toggle word wrap

流程

1. 复制默认 OpenSSL 配置文件：

   $ cp /etc/pki/tls/openssl.cnf .

   Copy to Clipboard Toggle word wrap

2. 编辑新的 openssl.cnf 文件并配置要用于 director 的 SSL 参数。一个要修改的参数类型的示例包括：

   [req]
   distinguished_name = req_distinguished_name
   req_extensions = v3_req
   
   [req_distinguished_name]
   countryName = Country Name (2 letter code)
   countryName_default = AU
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = Queensland
   localityName = Locality Name (eg, city)
   localityName_default = Brisbane
   organizationalUnitName = Organizational Unit Name (eg, section)
   organizationalUnitName_default = Red Hat
   commonName = Common Name
   commonName_default = 192.168.0.1
   commonName_max = 64
   
   [ v3_req ]
   # Extensions to add to a certificate request
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = @alt_names
   
   [alt_names]
   IP.1 = 192.168.0.1
   DNS.1 = instack.localdomain
   DNS.2 = vip.localdomain
   DNS.3 = 192.168.0.1

   Copy to Clipboard Toggle word wrap

   将 commonName_default 设置为以下条目之一：

   • 如果使用 IP 地址通过 SSL/TLS 访问 director，则使用 undercloud.conf 文件中的 undercloud_public_host 参数。
   • 如果使用完全限定域名通过 SSL/TLS 访问 director，则使用此域名。

   编辑 alt_names 部分，使其包含以下条目：

   • IP - 客户端用于通过 SSL 访问 director 的 IP 地址列表。
   • DNS - 客户端用于通过 SSL 访问 director 的域名列表。其中也包含公共 API IP 地址作为在 alt_names 部分末尾的 DNS 条目。
   注意

   有关 openssl.cnf 的更多信息，请运行 man openssl.cnf 命令。

3. 运行以下命令以生成证书签名请求 (server.csr.pem)：

   $ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem

   Copy to Clipboard Toggle word wrap

   确保使用 -key 选项包括 OpenStack SSL/TLS 密钥。

流程

1. 如果尚未存在，请创建 newcerts 目录：

   sudo mkdir -p /etc/pki/CA/newcerts

   Copy to Clipboard Toggle word wrap

2. 运行以下命令，为 undercloud 或 overcloud 创建证书：

   $ sudo openssl ca -config openssl.cnf -extensions v3_req -days 3650 -in server.csr.pem -out server.crt.pem -cert ca.crt.pem -keyfile ca.key.pem

   Copy to Clipboard Toggle word wrap

   这个命令使用以下选项：

   -config

   使用一个自定义配置文件，它是带有 v3 扩展的 openssl.cnf 文件。

   -extensions v3_req

   已启用的 v3 扩展。

   -days

   定义证书到期前的天数。

   -in

   证书签名请求。

   -out

   生成的签名证书。

   -cert

   证书颁发机构文件。

   -keyfile

   证书颁发机构私钥。

流程

1. 运行以下命令以组合证书和密钥：

   $ cat server.crt.pem server.key.pem > undercloud.pem

   Copy to Clipboard Toggle word wrap

   此命令创建 undercloud.pem 文件。

2. 将 undercloud.pem 文件复制到 /etc/pki 目录内的位置，并设置必要的 SELinux 上下文，以便 HAProxy 能够读取：

   $ sudo mkdir /etc/pki/undercloud-certs
   $ sudo cp ~/undercloud.pem /etc/pki/undercloud-certs/.
   $ sudo semanage fcontext -a -t etc_t "/etc/pki/undercloud-certs(/.*)?"
   $ sudo restorecon -R /etc/pki/undercloud-certs

   Copy to Clipboard Toggle word wrap

3. 将 undercloud.pem 文件位置添加到 undercloud.conf 文件的 undercloud_service_certificate 选项中：

   undercloud_service_certificate = /etc/pki/undercloud-certs/undercloud.pem

   Copy to Clipboard Toggle word wrap

   不要设置或启用 generate_service_certificate 和 certificate_generation_ca 参数。director 使用这些参数自动生成证书，而不使用您手动创建的 undercloud.pem 证书。

4. 将签名证书的证书颁发机构添加到 undercloud 的可信证书颁发机构列表中，以便 undercloud 内的不同服务能够访问证书颁发机构：

   $ sudo cp ca.crt.pem /etc/pki/ca-trust/source/anchors/
   $ sudo update-ca-trust extract

   Copy to Clipboard Toggle word wrap

   要验证证书颁发机构是否已添加到 undercloud，请使用 openssl 检查信任捆绑包：

   $ openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs -text | grep <CN of the CA issuer> -A 10 -B 10

   Copy to Clipboard Toggle word wrap

   将 <CN of the CA issuer> 替换为 CA 颁发者的通用名称。此命令输出主要证书详细信息，包括有效期日期。

流程

1. 从 heat 模板集合中复制 enable-tls.yaml 环境文件：

   $ cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/enable-tls.yaml ~/templates/.

   Copy to Clipboard Toggle word wrap

2. 编辑此文件并为这些参数进行以下更改：

   SSLCertificate

   将证书文件(server.crt.pem)的内容复制到 SSLCertificate 参数中：

   parameter_defaults:
     SSLCertificate: |
       -----BEGIN CERTIFICATE-----
       MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGS
       ...
       sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQ
       -----END CERTIFICATE-----

   Copy to Clipboard Toggle word wrap

   重要

   证书内容为所有新行需要相同的缩进级别。

   SSLIntermediateCertificate

   如果您有中间证书，请将中间证书的内容复制到 SSLIntermediateCertificate 参数中：

   parameter_defaults:
     SSLIntermediateCertificate: |
       -----BEGIN CERTIFICATE-----
       sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQbIxEpIzrgvpBCwUAMFgxCzAJB
       ...
       MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGSIb3DQE
       -----END CERTIFICATE-----

   Copy to Clipboard Toggle word wrap

   重要

   证书内容为所有新行需要相同的缩进级别。

   SSLKey

   将私钥(server.key.pem)的内容复制到 SSLKey 参数中：

   parameter_defaults:
     ...
     SSLKey: |
       -----BEGIN RSA PRIVATE KEY-----
       MIIEowIBAAKCAQEAqVw8lnQ9RbeI1EdLN5PJP0lVO
       ...
       ctlKn3rAAdyumi4JDjESAXHIKFjJNOLrBmpQyES4X
       -----END RSA PRIVATE KEY-----

   Copy to Clipboard Toggle word wrap

   重要

   私钥内容为所有新行需要相同的缩进级别。

流程

1. 从 heat 模板集合中复制 inject-trust-anchor-hiera.yaml 环境文件：

   $ cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/inject-trust-anchor-hiera.yaml ~/templates/.

   Copy to Clipboard Toggle word wrap

流程

1. 使用以下内容编辑 heat 模板：

   • 编辑 enable-tls.yaml 文件，并更新 SSLCertificate、SSLKey 和 SSLIntermediateCertificate 参数。
   • 如果您的证书颁发机构已更改，请编辑 inject-trust-anchor-hiera.yaml 文件并更新 CAMap 参数。

2. 重新运行部署命令：

   $ openstack overcloud deploy --templates \
   [...]
   -e /home/stack/templates/enable-tls.yaml \
   -e ~/templates/custom-domain.yaml \
   -e ~/templates/inject-trust-anchor-hiera.yaml \
   -e /usr/share/openstack-tripleo-heat-templates/environments/ssl/tls-endpoints-public-dns.yaml

   Copy to Clipboard Toggle word wrap

3. 在 director 上，为每个 Controller 运行以下命令：

   ssh tripleo-admin@<controller> sudo podman \
   restart $(podman ps --format="{{.Names}}" | grep -w -E 'haproxy(-bundle-.*-[0-9]+)?')

   Copy to Clipboard Toggle word wrap

流程

1. 检索 Controller 节点的 IP 地址：

   [stack@director ~]$ source ~/stackrc
   [stack@director ~]$ openstack server list
   --------------------------------------------------------------------------------------------+
   | ID                                   | Name                    | Status | Networks            |
   --------------------------------------------------------------------------------------------+
   | 756fbd73-e47b-46e6-959c-e24d7fb71328 | overcloud-controller-0  | ACTIVE | ctlplane=192.0.2.16 |
   | 62b869df-1203-4d58-8e45-fac6cd4cfbee | overcloud-novacompute-0 | ACTIVE | ctlplane=192.0.2.8  |
   --------------------------------------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

2. SSH 到 Controller 节点：

   [tripleo-admin@overcloud-controller-0 ~]$ ssh tripleo-admin@192.0.2.16

   Copy to Clipboard Toggle word wrap

3. 检索令牌驱动程序和提供程序设置的值：

   [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf token driver
   sql
   [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf token provider
   fernet

   Copy to Clipboard Toggle word wrap

4. 测试 Fernet 供应商：

   [tripleo-admin@overcloud-controller-0 ~]$ exit
   [stack@director ~]$ source ~/overcloudrc
   [stack@director ~]$ openstack token issue
   -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
   | Field | Value |
   -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
   | expires | 2016-09-20 05:26:17+00:00 |
   | id | gAAAAABX4LppE8vaiFZ992eah2i3edpO1aDFxlKZq6a_RJzxUx56QVKORrmW0-oZK3-Xuu2wcnpYq_eek2SGLz250eLpZOzxKBR0GsoMfxJU8mEFF8NzfLNcbuS-iz7SV-N1re3XEywSDG90JcgwjQfXW-8jtCm-n3LL5IaZexAYIw059T_-cd8 |
   | project_id | 26156621d0d54fc39bf3adb98e63b63d |
   | user_id | 397daf32cadd490a8f3ac23a626ac06c |
   -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

   结果包括长的 Fernet 令牌。

流程

1. 查看现有的 Fernet 密钥：

   1. 确定 Fernet 密钥位置。以 tripleo-admin 用户身份登录 Controller 节点，并使用 crudini 命令查询 Fernet 密钥：

      [stack@<undercloud_host> ~]$ ssh tripleo-admin@overcloud-controller-o
      [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf fernet_tokens key_repository
      /etc/keystone/fernet-keys

      Copy to Clipboard Toggle word wrap
      注意

      /etc/keystone/ 目录引用容器文件系统路径。

   2. 检查当前的 Fernet 密钥目录：

      [tripleo-admin@overcloud-controller-0 ~]$ sudo ls /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys
      0  1  2

      Copy to Clipboard Toggle word wrap
      • 0 - 包括 staged 密钥，它会变为下一个主密钥，并始终为 0。
      • 1 - 包含辅助密钥。

      • 2 - 包含主密钥。每次密钥轮转时，这个数字都会递增。最高数字始终用作主密钥。

        注意
        • 使用 max_active_keys 属性设置最大键数。默认值为 5 密钥。
        • 密钥在所有 Controller 节点上传播。

2. 使用 workflow 命令轮转 Fernet 密钥：

   [stack@director ~]$ source ~/stackrc
   [stack@director ~]$ openstack workflow execution create tripleo.fernet_keys.v1.rotate_fernet_keys {"container": "overcloud"}
   --------------------------------------------------------------+
   | Field             | Value                                     |
   --------------------------------------------------------------+
   | ID                | 58c9c664-b966-4f82-b368-af5ed8de5b47      |
   | Workflow ID       | 78f0990a-3d34-4bf2-a127-10c149bb275c      |
   | Workflow name     | tripleo.fernet_keys.v1.rotate_fernet_keys |
   | Description       |                                           |
   | Task Execution ID | <none>                                    |
   | State             | RUNNING                                   |
   | State info        | None                                      |
   | Created at        | 2017-12-20 11:13:50                       |
   | Updated at        | 2017-12-20 11:13:50                       |
   --------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

验证

1. 检索 ID，并确保工作流成功。

   [stack@director ~]$ openstack workflow execution show 58c9c664-b966-4f82-b368-af5ed8de5b47
   --------------------------------------------------------------+
   | Field             | Value                                     |
   --------------------------------------------------------------+
   | ID                | 58c9c664-b966-4f82-b368-af5ed8de5b47      |
   | Workflow ID       | 78f0990a-3d34-4bf2-a127-10c149bb275c      |
   | Workflow name     | tripleo.fernet_keys.v1.rotate_fernet_keys |
   | Description       |                                           |
   | Task Execution ID | <none>                                    |
   | State             | SUCCESS                                   |
   | State info        | None                                      |
   | Created at        | 2017-12-20 11:13:50                       |
   | Updated at        | 2017-12-20 11:15:00                       |
   --------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

2. 在 Controller 节点上，检查 Fernet 密钥的数量，并与前面的结果进行比较。

   [tripleo-admin@overcloud-controller-0 ~]$ sudo ls /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys
   0  1  2  3

   Copy to Clipboard Toggle word wrap
   • 0 - 包括 staged 密钥，始终为 0。这个密钥在下次轮转过程中成为主密钥。
   • 1 和 2 - 包含辅助密钥。

   • 3 - 包含主密钥。每次密钥轮转时，这个数字会递增。最高数字始终用作主密钥。

     注意
     • 使用 max_active_keys 属性设置最大键数。默认值为 5 密钥。
     • 密钥在所有 Controller 节点上传播。

流程

1. 在 undercloud 上启用 FIPS：

   1. 在您要在其上安装 undercloud 的系统中启用 FIPS：

      fips-mode-setup --enable

      Copy to Clipboard Toggle word wrap
      注意

      此步骤会将 fips=1 内核参数添加到 GRUB 配置文件中。因此，只有 Red Hat Enterprise Linux 使用的加密算法模块处于 FIPS 模式，且只使用标准批准的加密算法。

   2. 重启系统：

   3. 验证是否启用了 FIPS：

      fips-mode-setup --check

      Copy to Clipboard Toggle word wrap
   4. 安装和配置 Red Hat OpenStack Platform director。有关更多信息，请参阅： 在 undercloud 上安装 director。

2. 为 overcloud 准备启用了 FIPS 的镜像。

   1. 为 overcloud 安装镜像：

      sudo dnf -y install rhosp-director-images-uefi-fips-x86_64

      Copy to Clipboard Toggle word wrap

   2. 在 stack 用户的主目录中创建 images 目录：

      $ mkdir /home/stack/images
      $ cd /home/stack/images

      Copy to Clipboard Toggle word wrap

   3. 将镜像提取到您的主目录中：

      for i in /usr/share/rhosp-director-images/*fips*.tar; do tar -xvf $i; done

      Copy to Clipboard Toggle word wrap

   4. 在上传镜像前，您必须创建符号链接：

      ln -s ironic-python-agent-fips.initramfs       ironic-python-agent.initramfs
      ln -s ironic-python-agent-fips.kernel          ironic-python-agent.kernel
      ln -s overcloud-hardened-uefi-full-fips.qcow2  overcloud-hardened-uefi-full.qcow2

      Copy to Clipboard Toggle word wrap

   5. 将启用了 FIPS 的 overcloud 镜像上传到镜像服务：

       openstack overcloud image upload --update-existing --whole-disk

      Copy to Clipboard Toggle word wrap
      注意

      即使 OpenStack 镜像服务中没有镜像，您也必须使用 --update-existing 标志。

3. 在 overcloud 上启用 FIPS。

   为特定于您的环境的 overcloud 部署配置模板。在部署命令中包含所有配置模板，包括 fips.yaml ：

   openstack overcloud deploy
   ...
   -e /usr/share/openstack-tripleo-heat-templates/environents/fips.yaml

   Copy to Clipboard Toggle word wrap

1. 创建自定义 keystone 角色：

   $ openstack role create PowerUsers
   +-----------+----------------------------------+
   | Field     | Value                            |
   +-----------+----------------------------------+
   | domain_id | None                             |
   | id        | 7061a395af43455e9057ab631ad49449 |
   | name      | PowerUsers                      |
   +-----------+----------------------------------+

   Copy to Clipboard Toggle word wrap

2. 将现有用户添加到角色中，并为项目分配角色：

   $ openstack role add --project [PROJECT_NAME] --user [USER_ID] [PowerUsers-ROLE_ID]

   Copy to Clipboard Toggle word wrap
   注意

   角色分配仅与一个项目配对。这意味着，当您为用户分配角色时，您也会同时定义 target 项目。如果您希望用户接收同一角色但针对不同的项目，则必须单独为它们分配角色，但以不同的项目为目标。

3. 查看默认的 nova 策略设置：

   $ oslopolicy-policy-generator --namespace nova

   Copy to Clipboard Toggle word wrap

4. 通过将以下条目添加到 /var/lib/config-data/puppet-generated/nova/etc/nova/policy.json，为新的 PowerUsers 角色创建自定义权限：

   注意

   在部署前测试您的策略更改，以验证它们是否按预期工作。

   {
   "os_compute_api:servers:start": "role:PowerUsers",
   "os_compute_api:servers:stop": "role:PowerUsers",
   "os_compute_api:servers:create:attach_volume": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:index": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:create": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:show": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:update": "role:PowerUsers",
   "os_compute_api:os-volumes-attachments:delete": "role:PowerUsers"
   }

   Copy to Clipboard Toggle word wrap

   在保存文件并重启 nova 容器时，您将实施这些更改。添加到 PowerUsers keystone 角色的用户会收到这些特权。

流程

1. 运行 openstack role list 命令以查看环境中当前的角色：

   openstack role list -c Name -f value
   
   swiftoperator
   ResellerAdmin
   admin
   _member_
   heat_stack_user

   Copy to Clipboard Toggle word wrap

2. 运行 openstack role assignment list 命令，以列出属于特定角色的所有用户。例如，要查看具有 admin 角色的所有用户，请运行以下命令：

   $ openstack role assignment list --names --role admin
   +-------+------------------------------------+-------+-----------------+------------+--------+-----------+
   | Role  | User                               | Group | Project         | Domain     | System | Inherited |
   +-------+------------------------------------+-------+-----------------+------------+--------+-----------+
   | admin | heat-cfn@Default                   |       | service@Default |            |        | False     |
   | admin | placement@Default                  |       | service@Default |            |        | False     |
   | admin | neutron@Default                    |       | service@Default |            |        | False     |
   | admin | zaqar@Default                      |       | service@Default |            |        | False     |
   | admin | swift@Default                      |       | service@Default |            |        | False     |
   | admin | admin@Default                      |       | admin@Default   |            |        | False     |
   | admin | zaqar-websocket@Default            |       | service@Default |            |        | False     |
   | admin | heat@Default                       |       | service@Default |            |        | False     |
   | admin | ironic-inspector@Default           |       | service@Default |            |        | False     |
   | admin | nova@Default                       |       | service@Default |            |        | False     |
   | admin | ironic@Default                     |       | service@Default |            |        | False     |
   | admin | glance@Default                     |       | service@Default |            |        | False     |
   | admin | mistral@Default                    |       | service@Default |            |        | False     |
   | admin | heat_stack_domain_admin@heat_stack |       |                 | heat_stack |        | False     |
   | admin | admin@Default                      |       |                 |            | all    | False     |
   +-------+------------------------------------+-------+-----------------+------------+--------+-----------+

   Copy to Clipboard Toggle word wrap
   注意

   您可以使用 -f {csv,json,table,value,yaml} 参数导出这些结果。

流程

1. 首先，在所需角色中提供用户的身份验证文件。

2. 捕获 Keystone 生成的令牌并将其保存到文件中。您可以通过运行任何 openstack-cli 命令并使用 --debug 选项进行此操作，该选项会将提供的令牌输出到 stdout。您可以复制此令牌并将其保存到访问文件中。使用以下命令作为单一步骤执行此操作：

   openstack token issue --debug 2>&1 | egrep ^'{\"token\":' > access.file.json

   Copy to Clipboard Toggle word wrap

3. 创建策略文件。这可以在托管相关容器化服务的 overcloud 节点上完成。以下示例为 cinder 服务创建一个策略文件：

   ssh tripleo-admin@CONTROLLER-1 sudo podman exec cinder_api \
   oslopolicy-policy-generator \
   --config-file /etc/cinder/cinder.conf \
   --namespace cinder > cinderpolicy.json

   Copy to Clipboard Toggle word wrap

4. 使用这些文件，您现在可以审核相关角色以访问 Cinder 的 API：

   oslopolicy-checker --policy cinderpolicy.json --access access.file.json

   Copy to Clipboard Toggle word wrap

流程

1. 检查 Red Hat OpenStack 认证的硬件，以确保您的硬件受支持。

2. 检查硬件虚拟化是否可用并启用：

   cat /proc/cpuinfo | egrep "vmx|svm"

   Copy to Clipboard Toggle word wrap
3. 确保所有固件在硬件平台上都处于最新状态。详情请查看硬件供应商文档。

流程

1. 编辑绑定至 nova_compute 容器的 nova.conf 配置文件。将 debug 参数的值设置为 True ：

   $ sudo sed -i 's/^debug=.*/debug=True' \
   /var/lib/config-data/puppet-generated/nova/etc/nova/nova.conf

   Copy to Clipboard Toggle word wrap
   警告

   OpenStack 文件的配置文件是 ini 文件，其中包括多个部分，如 [DEFAULT] 和 [database]。在整个文件中，每个部分独有的参数可能并不唯一。请谨慎使用 sed。您可以通过运行 egrep -v "^$|^#" [configuration_file] | grep [parameter] 以检查一个参数是否在配置文件中出现了多次。

2. 重启 nova 容器：

   sudo podman restart nova_compute

   Copy to Clipboard Toggle word wrap

流程

1. 创建一个名为 libvirt-keysize.yaml 的新 yaml 模板，并使用 LibvirtCertificateKeySize 参数将默认值从 2048 增加到 4096。

   cat > /home/stack/templates/libvirt-keysize.yaml
   parameter_defaults:
           LibvirtCertificateKeySize: 4096
   EOF

   Copy to Clipboard Toggle word wrap

2. 将 libvirt-keysize.yaml 配置文件添加到部署脚本中：

   openstack overcloud deploy --templates \
   ...
   -e /home/stack/templates/libvirt-keysize.yaml
   ...

   Copy to Clipboard Toggle word wrap

3. 重新运行部署脚本：

   ./deploy.sh

   Copy to Clipboard Toggle word wrap

1. 声明了一个名为 TripleORules 的别名，以避免每次都重复使用相同的属性。
2. 别名接收 p+sha256 属性。在 AIDE 术语中，这会被解释为：监视所有文件权限 p，带有完整性 checksum sha256。

1. 将设置保存为 /home/stack/templates/ 目录中的名为 aide.yaml 的文件。
2. 编辑 aide.yaml 环境文件，使其具有适合您环境的参数和值。

3. 在 openstack overcloud deploy 命令中包含 /home/stack/templates/aide.yaml 环境文件，以及特定于您环境的所有其他必要的 heat 模板和环境文件：

   openstack overcloud deploy --templates
   ...
   -e /home/stack/templates/aide.yaml

   Copy to Clipboard Toggle word wrap

流程

1. 在模板中的 parameter_defaults 下，设置 HorizonAllowedHosts 参数的值：

   parameter_defaults:
       HorizonAllowedHosts: <value>

   Copy to Clipboard Toggle word wrap

   将 <value> 替换为 OpenStack 仪表板提供的 FQDN。

2. 使用修改后的模板以及您的环境所需的所有其他模板，部署 overcloud。

1. 使用 ssh 连接到控制器：

   $ ssh tripleo-admin@controller-0

   Copy to Clipboard Toggle word wrap

2. 检查 SECURE_PROXY_SSL_HEADER 参数的值为 ('HTTP_X_FORWARDED_PROTO', 'https') ：

   sudo egrep ^SECURE_PROXY_SSL_HEADER /var/lib/config-data/puppet-generated/horizon/etc/openstack-dashboard/local_settings
   SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')

   Copy to Clipboard Toggle word wrap

流程

1. 指定用于密码验证的正则表达式，以及用于失败测试的帮助文本。以下示例要求用户创建长度为 8 到 18 个字符之间的密码：

1. 将此更改应用到您的部署。将设置保存为名为 horizon_password.yaml 的文件，然后将其传递给 overcloud 部署命令，如下所示：& lt;full environment > 表示您必须仍然包含所有原始部署参数。例如：

流程

1. 只在 {% 包括 'auth/_login.html' %} 部分前输入所需的 logon 横幅。允许 HTML 标签：

   <snip>
   <div class="container">
     <div class="row-fluid">
       <div class="span12">
         <div id="brand">
           <img src="../../static/themes/rcue/images/RHOSP-Login-Logo.svg">
         </div><!--/#brand-->
       </div><!--/.span*-->
   
       <!-- Start of Logon Banner -->
       <p>Authentication to this information system reflects acceptance of user monitoring agreement.</p>
       <!-- End of Logon Banner -->
   
       {% include 'auth/_login.html' %}
     </div><!--/.row-fluid→
   </div><!--/.container-->
   
   {% block js %}
     {% include "horizon/_scripts.html" %}
   {% endblock %}
   
     </body>
   </html>

   Copy to Clipboard Toggle word wrap