HAProxy에 사용되는 암호 그룹을 변경하고 내부 끝점 간에 전송되는 이동 중인 데이터를 암호화할지 여부를 지정할 수 있습니다.
VMware Integrated OpenStack 배포의 모든 공용 API 끝점은 TLS 1.2 암호화를 사용합니다. HA 배포의 경우 내부 끝점 간의 트래픽도 TLS를 사용하여 암호화됩니다. 컴팩트 또는 매우 작음 배포의 내부 끝점은 단일 가상 시스템에 위치하기 때문에 이러한 배포 유형의 경우에는 내부 끝점 간의 트래픽이 기본적으로 암호화되지 않습니다.
내부 이동 중 암호화가 사용되도록 설정되면 HAProxy가 내부 API 호출 및 Horizon 트래픽에 대해 계층 7 로드 밸런서 대신 계층 4 로드 밸런서로 작동합니다. 각 컨트롤러의 Apache HTTP 서버는 강력한 암호화 성능을 위해 각 개별 OpenStack 서비스에 대해 TLS를 종료합니다. 그런 다음 Apache 서버는 로컬 루프백 서비스를 통해 Nova, Neutron 또는 Cinder와 같은 백엔드 서비스로 요청을 전달합니다. 또한 HAproxy는 내부 네트워크를 통해 백엔드 컨트롤러 노드로 요청을 보낼 때 해당 요청을 다시 암호화합니다.
프로시저
- OpenStack 관리 서버에
viouser
로 로그인합니다.
- 배포에 custom.yml 파일을 사용하지 않는 경우에는 /opt/vmware/vio/custom 디렉토리에 템플릿 custom.yml 파일을 복사합니다.
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
- 텍스트 편집기에서 /opt/vmware/vio/custom/custom.yml 파일을 엽니다.
- 암호화 설정을 원하는 대로 수정합니다.
암호 그룹을 조정하려면 haproxy_ssl_default_bind_ciphers 매개 변수의 주석 처리를 제거하고 해당 값을 원하는 암호 그룹으로 설정합니다.
내부 끝점에 대해 TLS 보호를 전환하려면 internal_api_protocol 매개 변수의 주석 처리를 제거하고 해당 값을 https(TLS 사용) 또는 http(TLS 사용 안 함)로 설정합니다.
- 업데이트된 구성을 배포합니다.
sudo viocli deployment configure
구성을 배포하면 OpenStack 서비스가 일시적으로 중단됩니다.
- internal_api_protocol 매개 변수의 값을 변경한 경우 그에 따라 Keystone 끝점 URL을 업데이트합니다.
- vSphere Web Client에서 을 선택합니다.
참고:
HTML5 vSphere Client는 현재 이 작업을 지원하지 않습니다. Flex 기반 vSphere Web Client를 사용합니다.
- KEYSTONE 끝점을 선택하고 편집(연필) 아이콘을 클릭합니다.
- 끝점 업데이트 섹션에서 구성에 따라
http
또는 https
로 시작되도록 URL을 변경합니다.
- 관리자 암호를 입력하고 업데이트를 클릭합니다.