Vous pouvez changer les suites de chiffrement utilisées par HAProxy et spécifier si vous souhaitez chiffrer les données In-Flight transférées entre les points de terminaison internes.

Dans un déploiement VMware Integrated OpenStack, tous les points de terminaison des API publiques utilisent le chiffrement TLS 1.2. Dans les déploiements de haute disponibilité, le trafic entre les points de terminaison internes est également chiffré à l'aide de TLS. Comme les points de terminaison internes d'un déploiement compact ou minuscule sont situés sur une seule machine virtuelle, par défaut, le trafic entre les points de terminaison internes n'est pas chiffré pour ces types de déploiement.

Lorsque le chiffrement In-Flight interne est activé, HAProxy agit comme un équilibrage de charge de couche 4 au lieu d'un équilibrage de charge de couche 7 pour les appels API internes et le trafic Horizon. Pour garantir des performances de chiffrement renforcé, le serveur Apache HTTP sur chaque contrôleur termine TLS pour chaque service OpenStack individuel. Le serveur Apache achemine ensuite la demande, via un service de boucle local, vers le serveur principal (Nova, Neutron ou Cinder, par exemple). En outre, HAProxy chiffre de nouveau la demande lorsqu'elle est envoyée vers un nœud de contrôleur de serveur principal sur le réseau interne.

Procédure

  1. Connectez-vous à Serveur de gestion OpenStack en tant que viouser.
  2. Si votre déploiement n'utilise pas de fichier custom.yml, copiez le fichier de modèle custom.yml dans le répertoire /opt/vmware/vio/custom. 
    sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. Ouvrez le fichier /opt/vmware/vio/custom/custom.yml dans un éditeur de texte.
  4. Définissez les paramètres de chiffrement sur les valeurs de votre choix.

    • Pour ajuster les suites de chiffrement, supprimez le commentaire du paramètre haproxy_ssl_default_bind_ciphers et définissez sa valeur en fonction de la suite de chiffrement souhaitée.

    • Pour modifier la protection TLS pour les points de terminaison internes, supprimez le commentaire du paramètre internal_api_protocol et définissez sa valeur sur https (TLS activé) ou http (TLS désactivé).

  5. Déployez la configuration mise à jour. 
    sudo viocli deployment configure

    Le déploiement de la configuration interrompt brièvement les services OpenStack.

  6. Si vous avez modifié la valeur du paramètre internal_api_protocol, mettez à jour l'URL du point de terminaison Keystone en conséquence.
    1. Dans vSphere Web Client, sélectionnez Administration > OpenStack.
      Note:

      Actuellement, vSphere Client HTML5 ne prend pas en charge cette opération. Utilisez le système vSphere Web Client basé sur Flex.

    2. Sélectionnez le point de terminaison KEYSTONE et cliquez sur l'icône Modifier (crayon).
    3. Dans la section Mettre à jour le point de terminaison, modifiez l'URL pour qu'elle commence par http ou https, selon votre configuration.
    4. Entrez le mot de passe de l'administrateur, puis cliquez sur Mettre à jour.