您可以更改 HAProxy 使用的密码套件,并指定是否加密在内部端点之间传输的动态数据。
VMware Integrated OpenStack 部署中的所有公共 API 端点都使用 TLS 1.2 加密。对于 HA 部署,内部端点之间的流量也使用 TLS 进行加密。由于紧凑型或微型部署中的内部端点位于单个虚拟机上,默认情况下,这些部署类型的内部端点之间的流量未进行加密。
启用内部动态加密后,HAProxy 将充当第 4 层负载平衡器而非第 7 层负载平衡器,来进行内部 API 调用和传输 Horizon 流量。为确保强加密性能,每个控制器上的 Apache HTTP 服务器将针对每个单独的 OpenStack 服务终止 TLS。然后,Apache 服务器通过本地环回服务将请求转发到后端服务,例如 Nova、Neutron 或 Cinder。将请求通过内部网络发送到后端控制器节点时,HAProxy 还会对请求重新加密。
过程
- 以
viouser
用户身份登录到 OpenStack 管理服务器。
- 如果您的部署未使用 custom.yml 文件,请将模板 custom.yml 文件复制到 /opt/vmware/vio/custom 目录。
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
- 在文本编辑器中打开 /opt/vmware/vio/custom/custom.yml 文件。
- 根据需要修改加密设置。
- 部署更新的配置。
sudo viocli deployment configure
部署此配置会短暂中断 OpenStack 服务。
- 如果更改了 internal_api_protocol 参数的值,请相应地更新 Keystone 端点 URL。
- 在 vSphere Web Client 中,选择。
注:
HTML5 vSphere Client 当前不支持此操作。请使用基于 Flex 的 vSphere Web Client。
- 选择 KEYSTONE 端点,然后单击编辑(铅笔)图标。
- 在更新端点部分中,根据您的配置,将 URL 更改为以
http
或 https
开头。
- 输入管理员密码,然后单击更新。