第 3 章 保护负载均衡服务
为了保护 Red Hat OpenStack 负载均衡服务(octavia)的不同组件之间的通信使用 TLS 加密协议和公钥加密。
3.1. 负载均衡服务中的双向 TLS 身份验证
Red Hat OpenStack Platform (RHOSP)负载均衡服务(octavia)的控制器进程通过 TLS 连接与负载均衡服务实例(amphorae)通信。负载平衡服务使用双向 TLS 身份验证验证两端是否都信任。
注意
这是完整的 TLS 握手过程的简化。有关 TLS 握手进程的更多信息,请参阅 TLS 1.3 RFC 8446。
双向 TLS 身份验证涉及两个阶段。阶段中,一个 Controller 进程(如负载均衡服务 worker 进程)连接到负载均衡服务实例,实例将其服务器证书提供给控制器。然后,控制器会根据控制器中存储的服务器证书颁发机构(CA)证书验证服务器证书。如果针对服务器 CA 证书验证了显示的证书,连接将进入阶段 2。
在 阶段,两个 Controller 将其客户端证书提供给负载均衡服务实例。然后,实例会根据存储在实例中的客户端 CA 证书来验证证书。如果成功验证此证书,则 TLS 握手的其余部分将继续在控制器和负载均衡服务实例之间建立安全通信频道。