所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置FusionSphere OpenStack各服务的SSL协议

配置FusionSphere OpenStack各服务的SSL协议

背景信息

在FusionSphere OpenStack安装完成后,配置系统中各服务使用的SSL协议。

安装完成后,各个服务默认SSL配置如下:

  • haproxy默认支持TLS 1.0,TLS 1.1和TLS 1.2。
  • Rabbitmq默认支持TLS 1.1和TLS 1.2。
  • Gaussdb默认支持TLS 1.2且不支持修改。
  • 其他内部组件通信的服务模块默认支持SSLv3、TLS 1.0、TLS 1.1和TLS 1.2。
  • 其他外部访问FusionSphere OpenStack接口的服务模块默认支持TLS 1.0、TLS 1.1和TLS 1.2。

SSLv3和TLS 1.0为不安全协议,使用时存在安全风险,安装完成后,请修改各个服务的SSL协议为TLS 1.1或TLS 1.2。

说明:

此处的SSL协议配置不包含mongodb,mongodb不支持TLS 1.2。

前提条件

  • 已完成所有主机的安装。
  • 已完成FusionSphere OpenStack的安装部署。
  • 已登录FusionSphere OpenStack的安装部署界面。

操作步骤

配置Rabbitmq使用的SSL协议

  1. 在已登录的FusionSphere OpenStack安装部署界面,选择“配置 > OpenStack”。
  2. 在“Rabbitmq”区域框,在“Rabbitmq SSL协议模式”中选择Rabbitmq使用的SSL协议为“TLSv1.1,TLSv1.2”。

    可支持选择的协议有以下几种:

    • 关闭:不开启SSL协议。
    • TLSv1.0,TLSv1.1,TLSv1.2:为Rabbitmq配置SSL协议为TLS 1.0、TLS 1.1、TLS 1.2,此项包含TLS 1.0为不安全协议,使用存在安全风险,不建议使用。
    • TLSv1.1,TLSv1.2:为Rabbitmq配置SSL协议为TLS 1.1、TLS 1.2。
    • TLSv1.2:为Rabbitmq配置SSL协议为TLS 1.2。
  3. 单击“提交”。
  4. 修改成功后,等待5分钟,在已登录的FusionSphere OpenStack安装部署界面,选择“运维 > 系统检查”。
  5. 在“初始安装全量检查”页签,勾选“检查rabbitmq服务状态”,单击“执行用例”。

    等待用例执行结果。

    • 用例执行成功,结束。
    • 用例执行失败,按照处理建议处理。

配置其他服务使用的SSL协议

  1. 在已登录的FusionSphere OpenStack安装部署界面,选择“运维 > 日常维护”。
  2. 在“系统服务SSL协议”区域框,在“内部服务”中选择内部服务使用的SSL协议为“TLSv1.2”。

    可支持选择的协议有以下几种:

    • TLSv1.2:为所有内部服务配置SSL协议为TLS 1.2。
    • SSLv3,TLSv1.0,TLSv1.1,TLSv1.2:为内部服务配置SSL协议为SSLv3或TLS 1.0,TLS 1.1,TLS 1.2,此项包含SSLv3和TLS 1.0为不安全协议,使用存在安全风险,不建议使用。
  3. 在“系统服务SSL协议”区域框,在“外部服务”中选择外部服务使用的SSL协议为“TLSv1.1,TLSv1.2”。

    此处的外部服务指FusionSphere OpenStack系统和外部通信的服务,在FusionSphere OpenStack中设置为此协议后,需要确保外部第三方系统也支持“TLSv1.1,TLSv1.2”协议。

    可支持选择的协议有以下几种:

    • TLSv1.0,TLSv1.1,TLSv1.2:为haproxy,omm-server和ironic-haproxy配置SSL协议为TLS 1.0、TLS 1.1、TLS 1.2,为nova-novncproxy和ironic-console-proxy配置SSL协议为SSLv3或TLS 1.0,TLS 1.1,TLS 1.2,此项包含TLS 1.0和SSLv3和为不安全协议,使用存在安全风险,不建议使用。
    • TLSv1.1,TLSv1.2:为haproxy,omm-server和ironic-haproxy配置SSL协议为TLS 1.1、TLS 1.2,为nova-novncproxy和ironic-console-proxy配置SSL协议为TLS 1.2。
    • TLSv1.2:为haproxy,omm-server,ironic-haproxy、nova-novncproxy和ironic-console-proxy配置SSL协议为TLS 1.2。
    说明:
    • “外部服务”中选择了“TLSv1.1,TLSv1.2”后,只有以下浏览器支持通过VNC方式登录虚拟机。
      • “Internet Explorer 11.0”版本
      • “Google Chrome 30.0”到“Google Chrome 51.0”的正式版本
      • “Firefox 27”到“Firefox 47”的正式版本
    • 如果需要通过VNC登录虚拟机,请选择支持版本的浏览器。
    • 如果需要通过FusionSphere OpenStack安装部署界面通过VNC方式登录管理虚拟机,则需要选择既满足FusionSphere OpenStack安装部署界面又满足支持TLS 1.1或TLS 1.2协议的浏览器版本。
  4. 单击“提交”,完成配置。
翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28426

下载量:788

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页