Barbican es un componente de OpenStack que almacena, aprovisiona y administra datos secretos. Actúa como el administrador de claves para VMware Integrated OpenStack.
Barbican está habilitado y configurado con el complemento de cifrado sencillo al instalar VMware Integrated OpenStack 5.1 o al actualizar a esta versión. Después de la implementación, puede modificar la configuración para utilizar el protocolo de interoperabilidad de administración de claves (Key Management Interoperability Protocol, KMIP).
Con Barbican, los arrendatarios deben conceder de manera explícita al usuario barbican
acceso a los certificados, las claves y los contenedores de TLS para los proyectos en la implementación. Si no desea que los arrendatarios configuren ACL, puede modificar custom-playbook.yml para conceder al usuario barbican
acceso a todos los objetos que se almacenan en Barbican. Debido a que los arrendatarios pueden almacenar objetos que no están relacionados con LBaaS en Barbican, asegúrese de que comprende y acepta las implicaciones de seguridad de esta acción antes de continuar.
Para otorgar al usuario barbican
acceso a todos los objetos que se almacenan en Barbican, especifique "rule:all_users"
como el valor de secret:get y container:get en el archivo /etc/barbican/policy.json.
Procedimiento
Resultados
Barbican utiliza KMIP en lugar del cifrado sencillo.
Si la carga útil de un secreto está en texto sin formato, los arrendatarios ahora deben incluir el parámetro --secret-type passphrase al crear el secreto.
Qué hacer a continuación
Los arrendatarios ahora pueden configurar LBaaS v2.0. Para obtener instrucciones, consulte Configurar LBaaS v2.0.