您可以變更 HAProxy 所使用的加密套件,並指定是否要加密在內部端點之間傳輸的動態資料。

VMware Integrated OpenStack 部署中的所有公用 API 端點均使用 TLS 1.2 加密。對於 HA 部署,內部端點之間的流量也會使用 TLS 進行加密。由於精簡或微型部署中的內部端點位於單一虛擬機器上,因此預設不會針對這些部署類型加密內部端點之間的流量。

啟用內部動態加密後,HAProxy 充當第 4 層負載平衡器而非第 7 層負載平衡器,以用於內部 API 呼叫和 Horizon 流量。若要確保強式加密效能,各個控制器上的 Apache HTTP 伺服器會終止每個個別 OpenStack 服務的 TLS。然後,Apache 伺服器會將該要求透過本機回送服務轉送到後端服務,例如 Nova、Neutron 或 Cinder。此外,HAProxy 還會在透過內部網路傳送要求至後端控制器節點時,重新加密該要求。

程序

  1. viouser 身分登入 OpenStack 管理伺服器
  2. 如果您的部署未使用 custom.yml 檔案,請將範本 custom.yml 檔案複製到 /opt/vmware/vio/custom 目錄。 
    sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. 在文字編輯器中開啟 /opt/vmware/vio/custom/custom.yml 檔案。
  4. 視需要修改加密設定。

    • 若要調整加密套件,請取消 haproxy_ssl_default_bind_ciphers 參數的註解,然後將其值設定為所需的加密套件。

    • 若要針對內部端點切換 TLS 保護,請取消 internal_api_protocol 參數的註解,並將其值設定為 https (已啟用 TLS) 或 http (已停用 TLS)。

  5. 部署已更新的組態。 
    sudo viocli deployment configure

    部署組態會暫時中斷 OpenStack 服務。

  6. 如果變更了 internal_api_protocol 參數的值,請相應地更新 Keystone 端點 URL。
    1. vSphere Web Client 中,選取管理 > OpenStack
      備註:

      HTML5 vSphere Client 目前不支援此作業。使用以 Flex 為基礎的 vSphere Web Client

    2. 選取 KEYSTONE 端點,然後按一下編輯 (鉛筆) 圖示。
    3. 更新端點區段中,根據您的組態,將 URL 變更為以 httphttps 開頭。
    4. 輸入管理員密碼,然後按一下更新