Barbican은 암호 데이터를 저장, 프로비저닝 및 관리하는 OpenStack의 구성 요소입니다. VMware Integrated OpenStack의 키 관리자처럼 작동합니다.

Barbican은 VMware Integrated OpenStack 5.1을 설치하거나 이 버전으로 업그레이드할 때 간단한 암호화 플러그인을 사용하여 사용하도록 설정되고 구성됩니다. 배포 후에는 KMIP(Key Management Interoperability Protocol)를 사용하도록 구성을 수정할 수 있습니다.

참고:

Barbican을 사용하는 경우 테넌트는 배포 환경에서 프로젝트의 인증서, 키 및 TLS 컨테이너에 대한 액세스 권한을 barbican 사용자에게 명시적으로 부여해야 합니다. 테넌트가 ACL을 구성할 수 없도록 하려면 custom-playbook.yml을 수정하여 barbican 사용자에게 Barbican에 저장된 모든 개체에 대한 액세스 권한을 부여하면 됩니다. 테넌트가 LBaaS와 관련이 없는 개체를 Barbican에 저장할 수 있기 때문에, 이 작업에 대한 보안 영향을 이해하고 수락한 다음 계속해야 합니다.

barbican 사용자에게 Barbican에 저장된 모든 개체에 대한 액세스 권한을 부여하려면 /etc/barbican/policy.json 파일에서 secret:get 및 container:get의 값으로 "rule:all_users"를 지정합니다.

1. OpenStack 관리 서버에 로그인합니다.
2. KMIP 플러그인을 사용하도록 Barbican을 구성합니다.

   sudo viocli barbican --secret-store-plugin KMIP --host kmip-server --port kmip-port --ca-certs ca-cert-file [--certfile local-cert-file --keyfile local-key-file --user kmip-user --password kmip-password]

   사용자 환경의 KMIP 구현에 따라 --certfile 및 --keyfile 매개 변수만 포함하거나 --user 및 --password 매개 변수만 포함하거나 이 매개 변수 4개를 모두 포함해야 할 수도 있습니다.

결과

Barbican은 단순 암호화 대신 KMIP를 사용합니다.

참고:

암호의 페이로드가 일반 텍스트인 경우 테넌트는 암호를 생성할 때 --secret-type passphrase 매개 변수를 포함해야 합니다.

다음에 수행할 작업

이제 테넌트가 LBaaS v2.0을 구성할 수 있습니다. 지침은 LBaaS v2.0 구성을 참조하십시오.