Barbican est un composant d'OpenStack qui stocke, provisionne et gère les données secrètes. Il agit en tant que gestionnaire de clés pour VMware Integrated OpenStack.
Barbican est activé et configuré avec le plug-in de chiffrement simple lorsque vous installez VMware Integrated OpenStack 5.1 ou procédez à une mise à niveau vers cette version. Après le déploiement, vous pouvez modifier la configuration pour utiliser le protocole KMIP (Key Management Interoperability Protocol).
Avec Barbican, les locataires doivent explicitement accorder à l'utilisateur barbican
l'accès aux certificats, aux clés et aux conteneurs TLS des projets dans votre déploiement. Si vous ne souhaitez pas que les locataires configurent la liste de contrôle d'accès, vous pouvez modifier custom-playbook.yml pour accorder à l'utilisateur barbican
l'accès à tous les objets stockés dans Barbican. Comme les locataires peuvent stocker des objets non liés à LBaaS dans Barbican, assurez-vous que vous comprenez et acceptez les implications de sécurité de cette action avant de continuer.
Pour octroyer à l'utilisateur barbican
l'accès à tous les objets stockés dans Barbican, spécifiez "rule:all_users"
comme valeur de secret:get et de container:get dans le fichier /etc/barbican/policy.json.
Procédure
Résultats
Barbican utilise KMIP plutôt que le chiffrement simple.
Si la charge utile d'un secret est en texte brut, les locataires doivent inclure le paramètre --secret-type passphrase lors de la création du secret.
Que faire ensuite
Les locataires peuvent désormais configurer LBaaS v2.0. Pour obtenir des instructions, reportez-vous à Configuration de LBaaS v2.0.