2.4. 更改简单网络管理协议(SNMP)字符串
director 为您的 overcloud 提供默认的只读 SNMP 配置。建议更改 SNMP 字符串,以减少未授权用户了解您的网络设备的风险。
注意
当使用字符串参数配置 ExtraConfig
接口时,您必须使用以下语法来确保 heat 和 Hiera 不将字符串解释为布尔值: '"<VALUE>"'
。
使用 overcloud 的环境文件中的 ExtraConfig
hook 设置以下 hieradata:
SNMP 传统访问控制设置
- snmp::ro_community
-
IPv4 只读 SNMP 社区字符串.默认值为
public
。 - snmp::ro_community6
-
IPv6 只读 SNMP 社区字符串.默认值为
public
。 - snmp::ro_network
-
允许
RO 查询
守护进程的网络。这个值可以是字符串或数组。默认值为127.0.0.1
。 - snmp::ro_network6
-
允许使用 IPv
6 查询
守护进程的网络。这个值可以是字符串或数组。默认值为::1/128
。 - tripleo::profile::base::snmp::snmpd_config
-
要作为安全 valve 添加到 snmpd.conf 文件中的行数组。默认值为
[]
。有关所有可用选项 ,请参阅 SNMP 配置文件 网页。
例如:
parameter_defaults: ExtraConfig: snmp::ro_community: mysecurestring snmp::ro_community6: myv6securestring
这会更改所有节点上的只读 SNMP 社区字符串。
SNMP 基于视图的访问控制设置(VACM)
- snmp::com2sec
- VACM com2sec 映射的数组。必须提供 SECNAME、SOURCE 和 COMMUNITY。
- snmp::com2sec6
- VACM com2sec6 映射的数组。必须提供 SECNAME、SOURCE 和 COMMUNITY。
例如:
parameter_defaults: ExtraConfig: snmp::com2sec: ["notConfigUser default mysecurestring"] snmp::com2sec6: ["notConfigUser default myv6securestring"]
这会更改所有节点上的只读 SNMP 社区字符串。
如需更多信息,请参阅 snmpd.conf
手册页。