HAProxy で使用される暗号化スイートを変更し、内部エンドポイント間で転送されるインフライト データを暗号化するかどうかを指定できます。

VMware Integrated OpenStack デプロイ内のすべてのパブリック API エンドポイントで、TLS 1.2 暗号化が使用されます。HA デプロイでは、内部エンドポイント間のトラフィックも TLS を使用して暗号化されます。コンパクトまたは小規模のデプロイの内部エンドポイントは、単一の仮想マシン上に配置されるため、これらのデプロイ タイプでは内部エンドポイント間のトラフィックはデフォルトで暗号化されません。

内部でのインフライト暗号化が有効な場合、HAProxy は内部 API 呼び出しおよび Horizon トラフィックに対して、レイヤー 7 ロード バランサとしてではなく、レイヤー 4 ロード バランサとして機能します。強力な暗号化のパフォーマンスを確保するため、各コントローラ上の Apache HTTP サーバは、それぞれの個別の OpenStack サービスで TLS を終了します。その後、Apache サーバは、ローカルのループバック サービス経由で Nova、Neutron、Cinder などのバックエンド サービスに要求を転送します。また、HAProxy は内部ネットワーク経由でバックエンド コントローラ ノードに要求を送信する際に、要求を再暗号化します。

手順

  1. OpenStack 管理サーバviouser としてログインします。
  2. デプロイで custom.yml ファイルを使用していない場合は、テンプレート custom.yml ファイルを /opt/vmware/vio/custom ディレクトリにコピーします。 
    sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. テキスト エディタで /opt/vmware/vio/custom/custom.yml ファイルを開きます。
  4. 必要に応じて、暗号化の設定を変更します。

    • 暗号化スイートを調整するには、haproxy_ssl_default_bind_ciphers パラメータのコメントを解除し、その値を目的の暗号化スイートに設定します。

    • 内部エンドポイントに対する TLS 保護を切り替えるには、internal_api_protocol パラメータのコメントを解除し、その値を https(TLS が有効)、または http(TLS が無効)に設定します。

  5. 更新された設定をデプロイします。 
    sudo viocli deployment configure

    設定をデプロイすると、OpenStack サービスが一時的に中断されます。

  6. internal_api_protocol パラメータの値を変更する場合は、Keystone エンドポイントの URL を適切に更新します。
    1. vSphere Web Client で、[管理] > [OpenStack] の順に選択します。
      注:

      現在、HTML5 vSphere Client は、この操作をサポートしていません。Flex ベースの vSphere Web Client を使用してください。

    2. [[Keystone]] エンドポイントを選択して、[編集](鉛筆)アイコンをクリックします。
    3. エンドポイントの更新 セクションで、構成に応じて http または https で始まるように URL を変更します。
    4. 管理者パスワードを入力して、[更新] をクリックします。