8.8. 防止 overcloud 被移除

您可以为编排服务(heat)设置自定义策略，以防止 overcloud 被删除。

要重新启用堆栈删除，请从 custom_env_files 参数中删除 prevent-stack-delete.yaml 文件，再运行 openstack undercloud install 命令。

步骤

创建名为 prevent-stack-delete.yaml 的环境文件。
设置 HeatApiPolicies 参数：
```
parameter_defaults:
  HeatApiPolicies:
    heat-deny-action:
      key: 'actions:action'
      value: 'rule:deny_everybody'
    heat-protect-overcloud:
      key: 'stacks:delete'
      value: 'rule:deny_everybody'
```
- heat-deny-action 是您必须在 undercloud 安装中包含的默认策略。
- 将 heat-protect-overcloud 策略设置为 rule:deny_everybody，以防止任何人删除 overcloud 中的任何堆栈。
  注意
  将 overcloud 保护设置为 rule:deny_everybody 表示您无法执行以下任一功能：
  删除 overcloud。
  删除单独的 Compute 或 Storage 节点。
  替换 Controller 节点。
将 prevent-stack-delete.yaml 环境文件添加到 undercloud.conf 文件中的 custom_env_files 参数：
```
custom_env_files = prevent-stack-delete.yaml
```
运行 undercloud 安装命令以刷新配置：
```
$ openstack undercloud install
```