HAProxy で使用される暗号化スイートを変更し、内部エンドポイント間で転送されるインフライト データを暗号化するかどうかを指定できます。
VMware Integrated OpenStack デプロイ内のすべてのパブリック API エンドポイントで、TLS 1.2 暗号化が使用されます。HA デプロイでは、内部エンドポイント間のトラフィックも TLS を使用して暗号化されます。コンパクトまたは小規模のデプロイの内部エンドポイントは、単一の仮想マシン上に配置されるため、これらのデプロイ タイプでは内部エンドポイント間のトラフィックはデフォルトで暗号化されません。
内部でのインフライト暗号化が有効な場合、HAProxy は内部 API 呼び出しおよび Horizon トラフィックに対して、レイヤー 7 ロード バランサとしてではなく、レイヤー 4 ロード バランサとして機能します。強力な暗号化のパフォーマンスを確保するため、各コントローラ上の Apache HTTP サーバは、それぞれの個別の OpenStack サービスで TLS を終了します。その後、Apache サーバは、ローカルのループバック サービス経由で Nova、Neutron、Cinder などのバックエンド サービスに要求を転送します。また、HAProxy は内部ネットワーク経由でバックエンド コントローラ ノードに要求を送信する際に、要求を再暗号化します。
手順
- OpenStack 管理サーバ に
viouser
としてログインします。
- デプロイで custom.yml ファイルを使用していない場合は、テンプレート custom.yml ファイルを /opt/vmware/vio/custom ディレクトリにコピーします。
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
- テキスト エディタで /opt/vmware/vio/custom/custom.yml ファイルを開きます。
- 必要に応じて、暗号化の設定を変更します。
- 更新された設定をデプロイします。
sudo viocli deployment configure
設定をデプロイすると、OpenStack サービスが一時的に中断されます。
- internal_api_protocol パラメータの値を変更する場合は、Keystone エンドポイントの URL を適切に更新します。
- vSphere Web Client で、 の順に選択します。
注:
現在、HTML5 vSphere Client は、この操作をサポートしていません。Flex ベースの vSphere Web Client を使用してください。
- [[Keystone]] エンドポイントを選択して、[編集](鉛筆)アイコンをクリックします。
- エンドポイントの更新 セクションで、構成に応じて
http
または https
で始まるように URL を変更します。
- 管理者パスワードを入力して、[更新] をクリックします。