Barbican 是用於儲存、佈建和管理機密資料的 OpenStack 元件。它可充當 VMware Integrated OpenStack 的金鑰管理員。

當您安裝或升級至 VMware Integrated OpenStack 5.1 時,Barbican 已啟用並設定簡單的密碼編譯外掛程式。部署完成後,您可以修改組態以使用金鑰管理互通協定 (KMIP)。

備註:

對於 Barbican,承租人必須明確授與 barbican 使用者對部署中的專案的憑證、金鑰和 TLS 容器的存取權。如果您不想承租人設定 ACL,可以修改 custom-playbook.yml 以授與 barbican 使用者對儲存在 Barbican 中的所有物件的存取權。由於承租人可能在 Barbican 中儲存與 LBaaS 無關的物件,請確保您瞭解並接受此動作的安全性影響後再繼續。

若要授與 barbican 使用者對儲存在 Barbican 中的所有物件的存取權,請在 /etc/barbican/policy.json 檔案中指定 "rule:all_users" 做為 secret:getcontainer:get 的值。

程序

  1. 登入 OpenStack 管理伺服器
  2. 將 Barbican 設定為使用 KMIP 外掛程式。 
    sudo viocli barbican --secret-store-plugin KMIP --host kmip-server --port kmip-port --ca-certs ca-cert-file [--certfile local-cert-file --keyfile local-key-file --user kmip-user --password kmip-password]

    根據您環境中的 KMIP 實作,您可能需要僅包含 --certfile--keyfile 參數、僅 --user--password 參數,或所有這四個參數。

結果

Barbican 使用 KMIP,而不是簡單的密碼編譯。

備註:

如果密碼的裝載採用純文字格式,現在承租人必須在建立密碼時包含 --secret-type passphrase 參數。

下一步

承租人現在可以設定 LBaaS v2.0。如需相關指示,請參閱〈設定 LBaaS v2.0〉