Sie können die von HAProxy verwendeten Verschlüsselungs-Suites ändern und festlegen, ob In-Flight-Daten, die zwischen internen Endpoints übertragen werden, verschlüsselt werden.

Alle öffentlichen API-Endpoints in einer VMware Integrated OpenStack-Bereitstellung verwenden TLS 1.2-Verschlüsselung. In HA-Bereitstellungen wird Datenverkehr zwischen internen Endpoints auch mithilfe von TLS verschlüsselt. Da sich die internen Endpoints in einer kompakten oder sehr kleinen Bereitstellung auf einer einzelnen virtuellen Maschine befinden, wird der Datenverkehr zwischen internen Endpoints für diese Bereitstellungstypen standardmäßig nicht verschlüsselt.

Wenn die interne In-Flight-Verschlüsselung aktiviert ist, fungiert HAProxy als Layer 4-Lastausgleichsdienst und nicht als Layer 7-Lastausgleichsdienst für interne API-Aufrufe und Horizon-Datenverkehr. Zur Gewährleistung starker Verschlüsselung beendet der Apache HTTP-Server auf jedem Controller TLS für jeden einzelnen OpenStack-Dienst. Der Apache-Server leitet die Anfrage dann über einen lokalen Loopback-Dienst an den Back-End-Dienst, wie z. B. Nova, Neutron oder Cinder, weiter. Darüber hinaus verschlüsselt der HA-Proxy die Anfrage erneut, wenn sie über das interne Netzwerk an einen Back-End-Controller-Knoten gesendet wird.

Prozedur

  1. Melden Sie sich beim OpenStack Management Server als viouser an.
  2. Wenn die Datei custom.yml in Ihrer Bereitstellung nicht verwendet wird, kopieren Sie die Vorlagendatei custom.yml in das Verzeichnis /opt/vmware/vio/custom. 
    sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. Öffnen Sie die Datei /opt/vmware/vio/custom/custom.yml in einem Texteditor.
  4. Ändern Sie die Verschlüsselungseinstellungen nach Bedarf.

    • Um die Verschlüsselungs-Suites anzupassen, heben Sie die Auskommentierung des Parameters haproxy_ssl_default_bind_ciphers auf und legen Sie seinen Wert auf die gewünschte Verschlüsselungs-Suite fest.

    • Um den TLS-Schutz für interne Endpoints umzuschalten, heben Sie die Auskommentierung des Parameters internal_api_protocol auf und legen Sie seinen Wert auf https (TLS aktiviert) oder auf http (TLS deaktiviert) fest.

  5. Stellen Sie die aktualisierte Konfiguration bereit. 
    sudo viocli deployment configure

    Die Bereitstellung der Konfiguration führt zu einer kurzen Unterbrechung der OpenStack-Dienste.

  6. Wenn Sie den Wert des internal_api_protocol-Parameters geändert haben, aktualisieren Sie die Keystone-Endpoint-URL entsprechend.
    1. Wählen Sie auf dem vSphere Web Client Verwaltung > OpenStack aus.
      Hinweis:

      Der HTML5 vSphere Client bietet derzeit keine Unterstützung für diesen Vorgang. Verwenden Sie den flexbasierten vSphere Web Client.

    2. Wählen Sie den Endpoint KEYSTONE aus und klicken Sie auf das Symbol Bearbeiten (Stift).
    3. Ändern Sie im Abschnitt Endpoint aktualisieren die URL, sodass sie je nach Konfiguration mit http oder https beginnt.
    4. Geben Sie das Administratorkennwort ein und klicken Sie auf Aktualisieren.