Barbican ist eine Komponente von OpenStack, die geheime Daten speichert, bereitstellt und verwaltet. Barbican fungiert als Schlüsselmanager für VMware Integrated OpenStack.
Barbican ist mit dem einfachen Verschlüsselungs-Plug-In aktiviert und konfiguriert, wenn Sie VMware Integrated OpenStack 5.1 installieren oder ein Upgrade darauf durchführen. Nach der Bereitstellung können Sie die Konfiguration zur Verwendung des KMIP-Protokolls (Key Management Interoperability Protocol) ändern.
Bei Verwendung von Barbican müssen Mandanten dem barbican
-Benutzer explizit Zugriff auf die Zertifikate, Schlüssel und TLS-Container für die zugehörigen Projekte in Ihrer Bereitstellung erteilen. Wenn Mandanten die Zugriffskontrollliste nicht konfigurieren sollen, können Sie custom-playbook.yml ändern, um dem barbican
-Benutzer Zugriff auf alle Objekte in Barbican zu gewähren. Da Mandanten unter Umständen Objekte ohne Bezug zu LBaaS in Barbican speichern, müssen Sie die Auswirkungen dieser Aktion auf die Sicherheit verstehen und akzeptieren, bevor Sie fortfahren.
Um dem barbican
-Benutzer Zugriff auf alle Objekte in Barbican zu gewähren, geben Sie "rule:all_users"
als Wert von secret:get und container:get in der Datei /etc/barbican/policy.json an.
Prozedur
Ergebnisse
Barbican verwendet KMIP anstelle von einfacher Verschlüsselung.
Liegt die Nutzlast eines geheimen Schlüssels im Klartext vor, müssen Mandanten beim Erstellen des geheimen Schlüssels jetzt den Parameter --secret-type passphrase einschließen.
Nächste Maßnahme
Mandanten können nun LBaaS v2.0 konfigurieren. Anweisungen finden Sie unter Konfigurieren von LBaaS v2.0.