所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
FusionSphere OpenStack密钥管理

FusionSphere OpenStack密钥管理

更换openstack帐户免认证登录功能的密钥文件

背景信息

执行虚拟机冷迁移过程中,FusionSphere OpenStack会使用帐户openstack将当前主机上的虚拟机数据拷贝到目标主机。如果不开启openstack免认证登录功能,则在执行过程中会提示用户输入目标主机上openstack帐户对应的密码,但是openstack为系统内部帐户,无法从外部登录,从而导致迁移虚拟机失败。为防止此现象的产生,FusionSphere默认开启openstack帐户的免认证登录功能,从而实现采用帐户openstack执行虚拟机数据拷贝时,免帐户输入。

本任务指导用户定期更换OpenStack帐户免认证登录的密钥文件,以提升系统的安全性。

说明:
  • 开启openstack帐户免认证登录功能后,同AZ内不同主机之间可以使用openstack帐户相互登录,无需使用密码。存在被攻击风险,如需关闭,请登录FusionSphere OpenStack的安装工具,在“配置 > OpenStack”页签的“Nova”区域框中将“是否支持冷迁移”选择为“关闭”,并执行“提交”。

    当关闭openstack帐户免认证登录功能后,操作系统中openstack帐户的shell属性会被设置为“/bin/false”。

  • openstack帐户的免认证登录功能为采用SSH密钥认证替换原先密码认证模式。更换SSH密钥时,可使用rsadsa加密算法。本任务以rsa为例进行说明,如需使用dsa算法,仅需将所有命令中的rsa替换成dsa
前提条件
  • 已完成FusionSphere OpenStack的安装与配置。
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取第一台主机的反向代理IP地址、“fsp”及“root”帐户的登录密码。
操作步骤
  1. 使用PuTTY,通过External OM平面IP地址登录OpenStack首节点。

    默认帐号:fsp,默认密码:Huawei@CLOUD8。

    说明:
    • 系统同时支持密码和公私钥对身份进行认证,如果使用公私钥对进行登录认证请参见使用PuTTY通过公私钥对认证方式登录节点
    • External OM平面IP地址请参考软件安装阶段FusionCloud Deploy导出的参数信息汇总文件《xxx_export_all.xlsm》的“FCD生成的LLD”页签搜索对应参数名称获取。不同场景参数名称如下所示:
      • Region Type I场景级联层:Cascading-ExternalOM-Reverse-Proxy,被级联层:Cascaded-ExternalOM-Reverse-Proxy。
      • Region Type II和Type II场景:ExternalOM-Reverse-Proxy。

  2. 执行以下命令,切换到root用户。

    su - root

    root用户默认密码为“Huawei@CLOUD8!”。

  3. 输入密码,执行“Enter”。
  4. 导入环境变量,具体操作请参见导入环境变量

    此处请固定输入“4”,通过“cloud_admin”帐户导入keystone V3环境变量。

  5. 执行如下操作生成SSH公钥、私钥文件。

    echo '' | ssh-keygen -t rsa -N ''

    执行完成后,在目录“~/.ssh”下生成两个文件。

    • id_rsa:免认证登录所需的私钥项。
    • id_rsa.pub:免认证登录所需的公钥项。

  6. 执行如下命令导入SSH公钥、私钥文件。

    cps template-params-update --service security security-auth --parameter authorize=True ssh_private_key="`cat ~/.ssh/id_rsa`" ssh_public_key="`cat ~/.ssh/id_rsa.pub`"

    命令中参数含义如表5-1

    表5-1 参数含义

    参数

    含义

    authorize

    openstack帐户免认证登录开关。开启后使用密钥认证方式,当前密钥中未设置密码,即实现了openstack帐户免认证登录功能。

    • True:开启免认证功能。
    • False:关闭免认证功能。

    默认值:False。

    ssh_private_key

    免认证登录的私钥项。私钥信息参考步骤 5

    ssh_public_key

    免认证登录的公钥项。公钥信息参考步骤 5

  7. 执行以下命令,提交配置。

    cps commit

更换MongoDB服务的密钥文件

背景信息

本任务指导维护人员更换MongoDB节点间通信的内部帐号__system所使用的密钥文件。

前提条件
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取第一台主机的反向代理IP地址、“fsp”及“root”帐户的登录密码。
操作步骤
  1. 使用PuTTY,通过External OM平面IP地址登录OpenStack首节点。

    默认帐号:fsp,默认密码:Huawei@CLOUD8。

    说明:
    • 系统同时支持密码和公私钥对身份进行认证,如果使用公私钥对进行登录认证请参见使用PuTTY通过公私钥对认证方式登录节点
    • External OM平面IP地址请参考软件安装阶段FusionCloud Deploy导出的参数信息汇总文件《xxx_export_all.xlsm》的“FCD生成的LLD”页签搜索对应参数名称获取。不同场景参数名称如下所示:
      • Region Type I场景级联层:Cascading-ExternalOM-Reverse-Proxy,被级联层:Cascaded-ExternalOM-Reverse-Proxy。
      • Region Type II和Type II场景:ExternalOM-Reverse-Proxy。

  2. 执行以下命令,并输入“root”帐户的密码切换到“root”帐户。

    su - root

    root用户默认密码为“Huawei@CLOUD8!”。

  3. 导入环境变量,具体操作请参见导入环境变量
  4. 执行以下命令更新MongoDB的密钥文件。

    cps template-params-update --service mongodb mongodb --parameter mongodb_keyfile="$(openssl rand -rand /dev/random -base64 741)"

  5. 执行cps commit命令使配置生效。

更新Glance服务对接OBS使用的密钥

背景信息

该任务指导用户更新Glance服务对接OBS时使用的公钥和私钥,以提升系统的安全性。

仅在Glance使用OBS存储作为后端存储时,需要定期更新此密钥。

前提条件
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取s3信息。
  • 已获取keystone服务的publicURL。
  • 已获取region name信息。
  • 已获取第一台主机的反向代理IP地址、“fsp”及“root”帐户的登录密码。
操作步骤
  1. 使用PuTTY,通过External OM平面IP地址登录OpenStack首节点。

    默认帐号:fsp,默认密码:Huawei@CLOUD8。

    说明:
    • 系统同时支持密码和公私钥对身份进行认证,如果使用公私钥对进行登录认证请参见使用PuTTY通过公私钥对认证方式登录节点
    • External OM平面IP地址请参考软件安装阶段FusionCloud Deploy导出的参数信息汇总文件《xxx_export_all.xlsm》的“FCD生成的LLD”页签搜索对应参数名称获取。不同场景参数名称如下所示:
      • Region Type I场景级联层:Cascading-ExternalOM-Reverse-Proxy,被级联层:Cascaded-ExternalOM-Reverse-Proxy。
      • Region Type II和Type II场景:ExternalOM-Reverse-Proxy。

  2. 执行以下命令,并输入“root”帐户的密码切换到“root”帐户。

    su - root

    root用户默认密码为“Huawei@CLOUD8!”。

  3. 导入环境变量

    此处请固定输入“1”,导入keystone V3环境变量。

    更新密钥需使用s3帐户。因此导入环境变量后请再执行以下命令:

    • OS_USERNAME=s3
    • OS_TENANT_NAME=service
    • OS_PROJECT_NAME=service
    • OS_PASSWORD=s3帐户的密码

  4. 参考生成新的OBS密钥生成新的OBS密钥。
  5. 执行runsafe命令进入CLI安全模式,执行以下命令更新Glance服务使用的OBS密钥。

    cps template-params-update --service glance glance --parameter s3_store_access_key=新的公钥 s3_store_secret_key=新的私钥

  6. 执行cps commit命令确认修改。

更新日志服务对接OBS使用的密钥

背景信息

该任务指导用户更新日志服务对接OBS时使用的公钥和私钥,以提升系统的安全性。

仅在日志服务使用OBS存储作为日志的远端输出设备时,需要定期更新此密钥。

前提条件
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取s3信息。
  • 已获取keystone服务的publicURL。
  • 已获取region name信息。
  • 已获取第一台主机的反向代理IP地址、“fsp”及“root”帐户的登录密码。
操作步骤
  1. 使用PuTTY,通过External OM平面IP地址登录OpenStack首节点。

    默认帐号:fsp,默认密码:Huawei@CLOUD8。

    说明:
    • 系统同时支持密码和公私钥对身份进行认证,如果使用公私钥对进行登录认证请参见使用PuTTY通过公私钥对认证方式登录节点
    • External OM平面IP地址请参考软件安装阶段FusionCloud Deploy导出的参数信息汇总文件《xxx_export_all.xlsm》的“FCD生成的LLD”页签搜索对应参数名称获取。不同场景参数名称如下所示:
      • Region Type I场景级联层:Cascading-ExternalOM-Reverse-Proxy,被级联层:Cascaded-ExternalOM-Reverse-Proxy。
      • Region Type II和Type II场景:ExternalOM-Reverse-Proxy。

  2. 执行以下命令,并输入“root”帐户的密码切换到“root”帐户。

    su - root

    root用户默认密码为“Huawei@CLOUD8!”。

  3. 导入环境变量

    此处请固定输入“1”,导入keystone V3环境变量。

    更新密钥需使用s3帐户。因此导入环境变量后请再执行以下命令:

    • OS_USERNAME=s3
    • OS_TENANT_NAME=service
    • OS_PROJECT_NAME=service
    • OS_PASSWORD=s3帐户的密码

  4. 参考生成新的OBS密钥生成新的密钥。
  5. 执行runsafe命令进入CLI安全模式,执行以下命令更新Glance服务使用的OBS密钥。

    log policy-set --parameter policy_s3_access_key=新的公钥 policy_s3_secret_key=新的私钥

更新FusionCompute对接FusionSphere OpenStack时使用OBS镜像服务的密钥

背景信息

该任务指导用户更新FusionCompute对接FusionSphere OpenStack时,使用OBS镜像服务的场景下,OBS服务鉴权所用的公钥和私钥,以提升系统的安全性。

仅在FusionCompute对接FusionSphere OpenStack场景,且配置使用OBS存储作为镜像服务时,需要定期更新此密钥。

操作步骤
  1. 参考生成新的OBS密钥生成新的OBS密钥。
  2. 登录FusionSphere OpenStack安装部署界面,具体操作请参见登录FusionSphere OpenStack安装部署界面(ManageOne方式)
  3. 在FusionSphere OpenStack安装部署界面,选择“配置 > 资源池管理”。
  4. 在“资源池”区域单击

    进入“集群管理”页面。

  5. 单击存储集群图标下的,进入“配置存储集群”页面。
  6. 单击后端存储所在行的,弹出“配置后端存储”对话框。
  7. 将“通用配置”区域的“OBS access key”和“OBS secret key”分别替换为新的公钥和私钥。
  8. 单击“确认”,返回“配置存储集群”页面。
  9. 单击“提交”。

    任务完成。

更新备份服务对接OBS使用的密钥(Region Type I)

背景信息

该任务指导用户更新备份服务对接OBS时使用的公钥和私钥,以提升系统的安全性。

仅在备份服务使用OBS存储作为第三方备份服务器时,需要定期更新此密钥

前提条件
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取鉴权组件新生成的OBS公钥和私钥。
  • 已获取s3信息。
  • 已获取keystone服务的publicURL。
  • 已获取region name信息。
  • 已获取第一台主机的反向代理IP地址、“fsp”及“root”帐户的登录密码。
操作步骤
  1. 使用PuTTY,通过External OM平面IP地址登录OpenStack首节点。

    默认帐号:fsp,默认密码:Huawei@CLOUD8。

    说明:
    • 系统同时支持密码和公私钥对身份进行认证,如果使用公私钥对进行登录认证请参见使用PuTTY通过公私钥对认证方式登录节点
    • External OM平面IP地址请参考软件安装阶段FusionCloud Deploy导出的参数信息汇总文件《xxx_export_all.xlsm》的“FCD生成的LLD”页签搜索对应参数名称获取。不同场景参数名称如下所示:
      • Region Type I场景级联层:Cascading-ExternalOM-Reverse-Proxy,被级联层:Cascaded-ExternalOM-Reverse-Proxy。
      • Region Type II和Type II场景:ExternalOM-Reverse-Proxy。

  2. 执行以下命令,并输入“root”帐户的密码切换到“root”帐户。

    su - root

    root用户默认密码为“Huawei@CLOUD8!”。

  3. 参考导入环境变量导入环境变量。

    更新密钥需使用s3帐户。因此需先将导入环境变量脚本做如下修改:
    • 将“OS_USERNAME”的值改为“s3”。
    • 将“OS_TENANT_NAME”的值改为“service”。

  4. 执行runsafe命令进入CLI安全模式,执行以下命令更新Glance服务使用的OBS密钥。

    backup policy-set --thirdurl uds[s]://新的公钥:新的私钥@OBS服务域名/OBS的桶名

    其中

    • uds[s]:使用的传输协议,udss表示采用ssl加密传输。推荐使用udss。
    • 新的公钥:登录OBS所使用的公钥。
    • 新的私钥:登录OBS所使用的私钥。
    • OBS服务域名:OBS服务器的域名,例如:uds.dc1.domain.com。
    • OBS的桶名:OBS桶的名称,每个AZ需要使用单独的OBS桶。

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:29467

下载量:793

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页