第 23 章 创建完整磁盘镜像
主 overcloud 镜像是在镜像自身中不包含分区信息或引导加载程序的平面分区镜像。director 在引导节点时使用单独的内核和 ramdisk,并在将 overcloud 镜像写入磁盘时创建基本分区布局。但是,您可以创建包含分区布局、引导加载程序和强化安全防护的完整磁盘镜像。
重要
以下过程会使用 director 的镜像构建功能。红帽只支持按照本节中所含的准则来构建的镜像。未按这些规范构建的自定义镜像不受支持。
23.1. 安全强化措施
完整磁盘镜像(whole disk image)包括了额外的安全强化措施,可用于在需要高安全性的环境中部署 Red Hat OpenStack Platform。创建镜像时,请考虑以下的建议:
-
/tmp
目录会挂载到独立的卷或分区上,并包含rw
、nosuid
、nodev
、noexec
和relatime
标志 -
/var
、/var/log
和/var/log/audit
目录挂载到单独的卷或分区上,并包含rw
和relatime
标志 -
/home
目录挂载到单独的分区或卷上,并包含rw
、nodev
和relatime
标志 对
GRUB_CMDLINE_LINUX
设置做出以下更改:-
要启用审核,可添加
audit=1
内核引导标志。 -
要禁用使用引导加载程序配置的 USB 的内核支持,请添加
nousb
。 -
要删除不安全的引导标志,请设置
crashkernel=auto
-
要启用审核,可添加
-
将不安全的模块(
usb-storage
、cramfs
、freevxfs
、jffs2
、hfs
、hfsplus
、squashfs
、udf
、vfat
)列入黑名单并防止这些模块加载。 -
在不安全的软件包(由
kexec-tools
安装的kdump
以及telnet
)完成默认安装后,将其从镜像中全部删除