Barbican ist eine Komponente von OpenStack, die geheime Daten speichert, bereitstellt und verwaltet. Barbican fungiert als Schlüsselmanager für VMware Integrated OpenStack.

Barbican ist mit dem einfachen Verschlüsselungs-Plug-In aktiviert und konfiguriert, wenn Sie VMware Integrated OpenStack 5.1 installieren oder ein Upgrade darauf durchführen. Nach der Bereitstellung können Sie die Konfiguration zur Verwendung des KMIP-Protokolls (Key Management Interoperability Protocol) ändern.

Hinweis:

Bei Verwendung von Barbican müssen Mandanten dem barbican-Benutzer explizit Zugriff auf die Zertifikate, Schlüssel und TLS-Container für die zugehörigen Projekte in Ihrer Bereitstellung erteilen. Wenn Mandanten die Zugriffskontrollliste nicht konfigurieren sollen, können Sie custom-playbook.yml ändern, um dem barbican-Benutzer Zugriff auf alle Objekte in Barbican zu gewähren. Da Mandanten unter Umständen Objekte ohne Bezug zu LBaaS in Barbican speichern, müssen Sie die Auswirkungen dieser Aktion auf die Sicherheit verstehen und akzeptieren, bevor Sie fortfahren.

Um dem barbican-Benutzer Zugriff auf alle Objekte in Barbican zu gewähren, geben Sie "rule:all_users" als Wert von secret:get und container:get in der Datei /etc/barbican/policy.json an.

Prozedur

  1. Melden Sie sich beim OpenStack Management Server an.
  2. Konfigurieren Sie Barbican zur Verwendung des KMIP-Plug-Ins.
    sudo viocli barbican --secret-store-plugin KMIP --host kmip-server --port kmip-port --ca-certs ca-cert-file [--certfile local-cert-file --keyfile local-key-file --user kmip-user --password kmip-password]

    Abhängig von der KMIP-Implementierung in Ihrer Umgebung müssen Sie gegebenenfalls nur die Parameter --certfile und --keyfile, nur die Parameter --user und --password oder alle vier Parameter einschließen.

Ergebnisse

Barbican verwendet KMIP anstelle von einfacher Verschlüsselung.

Hinweis:

Liegt die Nutzlast eines geheimen Schlüssels im Klartext vor, müssen Mandanten beim Erstellen des geheimen Schlüssels jetzt den Parameter --secret-type passphrase einschließen.

Nächste Maßnahme

Mandanten können nun LBaaS v2.0 konfigurieren. Anweisungen finden Sie unter Konfigurieren von LBaaS v2.0.