23.7. 更改 HAProxy 的 SSL/TLS 密码和规则
如果您在 overcloud 中启用了 SSL/TLS,请考虑强化与 HAProxy 配置一起使用的 SSL/TLS 密码和规则。通过强化 SSL/TLS 密码,您可以避免 SSL/TLS 漏洞,如 POODLE 漏洞。
创建名为
tls-ciphers.yaml
的 heat 模板环境文件:touch ~/templates/tls-ciphers.yaml
使用环境文件中的
ExtraConfig
hook 将值应用到tripleo::haproxy::ssl_cipher_suite
和tripleo::haproxy::ssl_options
hieradata:parameter_defaults: ExtraConfig: tripleo::haproxy::ssl_cipher_suite:: `DHE-RSA-AES128-CCM:DHE-RSA-AES256-CCM:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-CCM:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305` tripleo::haproxy::ssl_options:: no-sslv3 no-tls-tickets
注意cipher 集合是一个连续行。
在部署 overcloud 时,使用 overcloud deploy 命令包含
tls-ciphers.yaml
环境文件:openstack overcloud deploy --templates \ ... -e /home/stack/templates/tls-ciphers.yaml ...