Barbican は、シークレット データの保存、プロビジョニング、および管理を行う OpenStack のコンポーネントです。VMware Integrated OpenStack のキー マネージャとして動作します。

Barbican は VMware Integrated OpenStack 5.1 のインストール時またはこのバージョンへのアップグレード時に有効になり、単純な暗号化プラグインによって設定されます。デプロイ後に、キー管理相互運用性プロトコル (KMIP) を使用するよう設定を変更できます。

注：

デプロイ内のテナントでは、Barbican を使用して、barbican ユーザーに、プロジェクトの証明書、キー、および TLS コンテナへのアクセスを明示的に許可する必要があります。テナントに ACL を設定しない場合は、custom-playbook.yml を変更して、Barbican に格納されているすべてのオブジェクトへのアクセスを barbican ユーザーに許可することができます。テナントでは LBaaS に関係のないオブジェクトを Barbican に保存する可能性があるため、この操作を続行する前に、セキュリティに与える影響を確実に理解して受け入れてください。

Barbican に格納されているすべてのオブジェクトへのアクセスを barbican ユーザーに許可するには、/etc/barbican/policy.json ファイル内で secret:get および container:get の値として "rule:all_users" を指定します。

1. OpenStack 管理サーバ にログインします。
2. KMIP プラグインを使用するよう Barbican を設定します。

   sudo viocli barbican --secret-store-plugin KMIP --host kmip-server --port kmip-port --ca-certs ca-cert-file [--certfile local-cert-file --keyfile local-key-file --user kmip-user --password kmip-password]

   環境内の KMIP の実装によっては、--certfile パラメータと --keyfile パラメータのみ、--user パラメータと --password パラメータのみ、またはこれら 4 つのパラメータすべてを含める必要があります。

タスクの結果

Barbican は、単純な暗号ではなく KMIP を使用します。

注：

シークレットのペイロードがプレーンテキストである場合は、シークレットを作成するときに、テナントに --secret-type passphrase パラメータを含める必要があります。

次のタスク

これにより、テナントで LBaaS v2.0 を設定できます。手順については、LBaaS v2.0 の構成を参照してください。