3.8. 安全性

安全域包括在单个系统中共享共同信任要求的用户、应用程序、服务器或网络。安全域通常使用相同的身份验证和授权要求和用户。

典型的安全域类别包括公共、客户机、管理和数据。域可以单独或组合映射到 OpenStack 部署。例如，一些部署拓扑将客户机和数据域组合在一个物理网络中，其他情况下网络会被物理分开。每个情况都需要云操作员了解相关的安全问题。

安全域应映射到您的特定 OpenStack 部署拓扑。域和域信任要求取决于云实例是公共、私有还是混合。

公共域

云基础架构完全不受信任的区域。公共域可以将互联网称为您没有授权的整个或网络。此域应始终被视为不受信任的。

客户机域

通常用于计算实例到实例流量，并处理云上实例生成的计算数据，但不由支持云操作的服务（如 API 调用）提供服务。

公共云供应商和私有云供应商对实例使用没有严格控制，或者允许不受限制的互联网访问实例的公共云提供商应认为这个域不被信任。私有云供应商可能会考虑这个网络内部，因此仅信任为实例和所有云租户中的控制。

管理域

服务相互交互的域。这个域有时被称为 control plane。此域中的网络传输机密数据，如配置参数、用户名和密码。在大多数部署中，这个域被视为可信。

数据域

存储服务传输数据的域。跨该域的大多数数据都具有高度完整性和保密性要求，并且根据部署类型，也可能具有强大的可用性要求。此网络的信任级别取决于其他部署决策。

当您在企业将 OpenStack 部署为私有云时，部署通常位于防火墙后面，并且位于具有现有系统的可信任的网络中。云的用户通常是受公司所定义的安全要求约束的员工。这种部署意味着大多数安全域都可以被信任。

但是，当您以面向公共的角色部署 OpenStack 时，对域的信任级别没有假设，攻击向量会显著提高。例如，API 端点和底层软件会容易受到想要获得未授权访问或阻止访问服务的不当者的影响。这些攻击可能会导致数据丢失、功能和声望。这些服务必须使用审计和适当的过滤进行保护。

当您为公共云和私有云管理系统用户时，您必须谨慎操作。Identity 服务可以使用外部身份后端，如 LDAP，这简化了 OpenStack 中的用户管理。由于用户身份验证请求包含敏感信息，如用户名、密码和身份验证令牌，因此您应该将 API 服务放在执行 SSL 终止的硬件后。