Puede cambiar los conjuntos de claves de cifrado que HAProxy utiliza y especificar si desea cifrar los datos en ejecución que se transfieren entre endpoints internos.

Todos los endpoints de API públicos en una implementación de VMware Integrated OpenStack utilizan el cifrado de TLS 1.2. Para las implementaciones de HA, el tráfico entre endpoints internos también se cifra mediante TLS. Debido a que los endpoints internos de una implementación compacta o muy pequeña se encuentran en una sola máquina virtual, el tráfico entre los endpoints internos no se cifra para esos tipos de implementación de forma predeterminada.

Cuando se habilita el cifrado en ejecución interno, HAProxy actúa como un equilibrador de carga de capa 4 en lugar de uno de capa 7 para las llamadas a API internas y el tráfico de Horizon. Para garantizar el rendimiento del cifrado de alta seguridad, el servidor HTTP Apache de cada controlador finaliza TLS para cada servicio de OpenStack individual. A continuación, el servidor Apache reenvía la solicitud a través de un servicio de bucle invertido local al servicio de back-end (como Nova, Neutron o Cinder). HAProxy también vuelve a cifrar la solicitud cuando la envía a un nodo de controlador de back-end a través de la red interna.

Procedimiento

  1. Inicie sesión en Servidor de administración de OpenStack como viouser.
  2. Si la implementación no utiliza un archivo custom.yml, copie el archivo de plantilla custom.yml en el directorio /opt/vmware/vio/custom.
    sudo mkdir -p /opt/vmware/vio/custom
    sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. Abra el archivo /opt/vmware/vio/custom/custom.yml en un editor de texto.
  4. Modifique la configuración de cifrado según desee.
    • Para ajustar los conjuntos de claves de cifrado, quite la marca de comentario del parámetro haproxy_ssl_default_bind_ciphers y establezca su valor como el conjunto de claves de cifrado que desee.

    • Para activar o desactivar la protección de TLS para los endpoints internos, quite la marca de comentario del parámetro internal_api_protocol y establezca su valor como https (TLS habilitado) o http (TLS deshabilitado).

  5. Implemente la configuración actualizada.
    sudo viocli deployment configure

    Al implementar la configuración, se interrumpen brevemente los servicios de OpenStack.

  6. Si cambia el valor del parámetro internal_api_protocol, actualice la URL del endpoint de Keystone según corresponda.
    1. En vSphere Web Client, seleccione Administración > OpenStack.
      Nota:

      Actualmente, vSphere Client HTML5 no admite esta operación. Utilice la instancia de vSphere Web Client basada en Flex.

    2. Seleccione el endpoint de KEYSTONE y haga clic en el icono de edición (lápiz).
    3. En la sección Actualizar endpoint, cambie la dirección URL para que comience con http o https en función de la configuración.
    4. Introduzca la contraseña del administrador y haga clic en Actualizar.