第 1 章 安全性简介
使用 Red Hat Openstack Platform (RHOSP)提供的工具,在规划和操作中优先选择安全性,以满足用户的隐私性和数据安全性的期望。无法实施安全标准会导致停机或数据泄露。您的用例可能会受到要求通过审计和合规性流程的法律。
- 有关强化 Ceph 的信息,请参阅 数据安全性和强化指南。
注意
按照本指南中的说明强化环境的安全性。但是,这些建议不能保证安全性或合规性。您必须根据环境的唯一要求评估安全性。
1.1. Red Hat OpenStack Platform 安全性
默认情况下,Red Hat OpenStack Platform (RHOSP) director 使用以下工具和访问控制来创建 overcloud,以提高安全性:
- SElinux
- SELinux 通过提供要求每个进程都有每个操作的访问控制来为 RHOSP 提供安全增强。
- Podman
- Podman 作为容器工具是 RHOSP 的一个安全选项,因为它不使用客户端/服务器模型,它需要具有 root 访问权限的进程才能正常工作。
- 系统访问限制
- 您只能使用 director 在 overcloud 部署期间为 tripleo-admin 创建的 SSH 密钥或您在 overcloud 上创建的 SSH 密钥来登录 overcloud 节点。您不能使用带有密码的 SSH 登录 overcloud 节点,或使用 root 登录 overcloud 节点。
您可以根据机构的需要和信任级别,使用以下额外安全功能配置 director:
- 公共 TLS 和 TLS-everywhere
- 硬件安全模块与 OpenStack Key Manager (barbican)集成
- 签名的镜像和加密卷
- 使用工作流执行对密码和 fernet 密钥进行轮转