Enabling SSL for Keystone 阅读各种文献

最新推荐文章于 2019-06-03 18:50:51 发布
最新推荐文章于 2019-06-03 18:50:51 发布
阅读量1.3k 收藏
点赞数
分类专栏: openstack 文章标签: keystone ssl

https://openstack.redhat.com/Securing_services

 

准备

   需要CA认证,include CN = <fqdn> for SSL towork.

安装IPA server

 修改文件 /etc/hostname

hostname -s:短主机名

  修改文件 /etc/hosts

hostname -i:IP地址

 

 /etc/sysconfig/network :是redhat系统中网络配置文件。在ubuntu中是/etc/network/interfaces

 

 安装IPA client

如果机器上有dhclient运行,需要配置/etc/dhcp/dhcpclient-<nic>.conf,否则dhclient将重写/etc/resolv.conf,从而导致DNS解析失败

 

MYSQL

得到一个服务器证书和私钥。

 qpid

 nova和glance不允许SSL配置

Qpid-cpp-server-ssl

 

dashboard

  安装mod_ssl   更改配置文件   重启httpd

 

 

http://www.rackspace.com/blog/enabling-ssl-for-the-openstack-api/

 

为什么 SSL不能被简单的使能?

 在nova的配置文件中,当需要python来处理SSL交换,需要交付税务业绩。有大量软硬件可以处理这些交易。API服务需要回应地很快,故不适合将其内建。另外nova API代码是作为WSGI(网络服务器网关接口),即从网络或应用服务器上运行Python代码的特例

    使用像APache的网络服务器来提供OpenStack API。下面是用于运行OpenStack API代码的Apache的参考配置。首先保证apache2已安装,mod_ssl已使能。

 

 使能apache2提供的wsgi模块

a2enmod mod_wsgi

restart apache2

 

 创建把 Apache2系到nova-api服务的wsgi文件。nova使用python的pastdeploy system。若需要openstack的api-paste,则可在github上找一个。你可将wsgi保存在/opt/wsgi/osapi.wsgi中

 

 

 创建一个新的 站点/虚拟主机 定义文件,放在/etc/apache2/sites-available/osapi

 需要做如下更改来匹配你的环境:

WSGIScriptAlias / /path/to/wsgi

-该wsgi文件是在之前代码中创建,并用来减轻通过python paste deployment部署服务

-WSGIDaemonProcess nova-osapi 和 WSGI。。。。

 

-SSL cert必须是有效的CA证书。必须有server和任意你使用的client知道的CA。关于如何创建你自己的CA,ubuntu提供了文档和链接

https://help.ubuntu.com/community/OpenSSL

配置完后,关闭nova-api进程,重启Aoache,你的openstack API就在apache外运行,且所有要求都在端口8774上用SSL处理。所有nova-api提供的服务都必须用同样的方式来配置。 nova的api-paste.ini已经包含了配置信息。

 

 

 

 

http://www.gossamer-threads.com/lists/openstack/dev/37427

Enabling SSL For The OpenStack API using HTTPD andmod_wsgi

    很多都局限于 keystone-manage ssl_setup。

     为keystone配置SSL。

 

 

APACHE2+ MOD_WSGL + OPENSTACK: PT1.KEYSTONE

将Apache2作为openstack服务的前端,

1> 需要的脚本/文件已加入github。

      简单的追溯。需要如下的python脚本,处理一些配置文件,放在apache能读到的位置

 

Notice:对于keystone,根据github链接来配

 

github:Running Keystone in HTTPD。该配置不支持分块传输编码。因为mod_wsgi使用的实现和WSGI特定的局限。

 

首先,使能SSL支持。可选但高度推荐

           根据发布版安装 mod_nss。然后应用下面的patch,重启HTTPD。

Hellovictoria
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
9. Enabling Technologies for SDN.flv
03-25
INE出品的SDN视频教程
(八)OpenStack中Keystone认证服务介绍及安装配置
Until_U的博客
07-18 1854
1、keystone认证服务介绍 1.1 组件说明 (1)什么是keystoneKeystone是OpehStack Identity Service的项目名称,是一个负责身份管理与授权的组件; 主要功能:实现用户的身份认证,基于角色的权限管理,及openstack其他组件的访问地址和安全策略管理 (2)为什么需要keystoneKeystone项目的主要目的是给整个openstack的各个组件(nova, cinder, glance... )提供一个统一的验证方式 功能: 用.
Keystone 高可靠性部署与性能测试
wsfdl的专栏
12-05 6376
Goal          Keystone Region 为跨地域的 Openstack 集群提供了统一的认证和用户租户管理。目前公司在国内外部署了数十套 Openstack 集群,其中既有集群在内网,又有集群在公网;既有 Havana 集群,也有 Icehouse 集群;既有 nova-network 集群,又有 Neutron 集群,如下图:
Openstack keystone、dashboard、swift组件启用SSL
SA2013的博客
06-03 825
Openstack keystone、dashboard、swift(Mitaka版本、Ubuntu系统)启用SSL1.Keystone启用SSL修改endpoint修改admin-openrc环境变量文件2.对象存储Swift启用SSL修改endpoint3.DashBoard启用SSL 1.Keystone启用SSL 创建存放SSL证书的文件夹,将证书相关文件放入 mkdir -p /etc...
OpenStack SSL (by joshua)
技术并艺术着
02-07 1302
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (作者:张华 发表于:2018-02-07) OpenStack Charm如何支持SSL OpenStack Charm需为每个OpenStack服务配置证书(/var/lib/keystone/juju_ssl/, /usr/local/share/ca-certificates/)与https end
Towards A Novel Architecture for Enabling Interoperability Amongst Multiple Bloc
02-21
Towards A Novel Architecture for Enabling Interoperability Amongst Multiple Blockchains论文笔记
Enabling probabilistic differential privacy protection for location recommendations
02-11
Enabling probabilistic differential privacy protection for location recommendations
Artificial Co-Drivers as a Universal Enabling Technology for Future Intelligent
07-12
This position paper introduces the concept of ar- tificial “co-drivers” as an enabling technology for future intel- ligent transportation systems. In Sections I and II, the design principles of co-...
Tools for enabling quick display and analysis of trajectories an
07-19
Tools for enabling quick display and analysis of trajectories and transformations in Matlab.zip
Keystone介绍
LiuXiaoXueer的博客
04-09 996
目录 Keystone介绍 常用术语 Keystone认证模型 Domain、Project、User的关系 Keystone的认证过程 Keystone介绍 Keystone在OpenStack框架中提供身份验证服务规则和服务令牌功能,提供了认证服务的API,为OpenStack中各个组件提供了认证服务,类似于服务总线,或者说是整个OpenStack框架的注册表,其他的服务都...
keystone认证原理
实践求真知
03-17 3971
一 认证原理图二 UUID认证的原理当用户拿着有效的用户名和密码去keystone认证后,keystone就会返回给他一个token,这个token就是一个uuid。以后用户进行其他操作时,都必须出示这个token。例如当nova接到一个请求后,就会用这个token去向keystone进行请求验证,keystone通过比对token,以及检查token的有效期,来判断token是否合法,然后返回给...
手动部署OpenStack(三)之“Keystone认证服务配置”
初心的博客
02-02 2608
配置详细步骤 笔记链接:http://note.youdao.com/noteshare?id=75a9c5fa39865ef369e73d4c9aadfd03 1、安装MySQL服务 注:该项的所有操作步骤需要使用root用户进行 该项需要在controller控制节点主机进行单独设置。 OpenStack持久化数据需要存储到数据库中,如Nova相关的主机信息,instance状态,网络相关的网...
Keystone-manage 命令
weixin_34375054的博客
07-09 523
本文介绍Icehouse发行版的keystone-manage命令  keystone-manage是用来同keystone服务进行交互的命令行工具,通常该命令只用于不能通过HTTP API完成的操作,比如数据的import/export或数据库迁移等等。 用法 keystone-manage [options] action [additional args] action   ...
OpenStack Ocata 安装(二)安装身份验证(Keystone)服务
探索世界,改变世界
04-30 6257
安装身份验证(Keystone)服务: OpenStack标识服务为管理身份验证、授权和服务目录提供了单一的集成点。标识服务通常是用户与用户交互的第一个服务
keystone WSGI流程
gj19890923的专栏
03-26 8561
作为OpenStack两种主要的通信方式(RESTful API与消息总线)之一,理解RESTful API的设计思路和执行过程,有助于我们对OpenStack有更好的理解。RESTful只是设计风格而不是标准,Web服务中通常使用基于HTTP的符合RESTful风格的API。而WSGI(Web ServerGateway Interface)则是python语言中所定义的Web服务器和Web应用
OpenStack 安装向导之配置identity服务
Jesse的黑洞
08-14 3102
 OpenStack 安装向导之配置identity服务   Identity Service内容          Identity服务执行以下功能:                    用户管理,跟踪用户和他们的权限                    服务目录,提供一个有效地服务目录(用他们的API)          为了更好的理
初识keystone-领域模型与安装配置
李子无为的杂货铺
01-08 4624
OpenStack概念不多讲了,因为讲不明白。只了解过keystone,其他服务是干什么的,怎么用的,目前还没有驱动力去了解,所以就自觉闭嘴了。现在只对这段时间学习keystone的一些认识做个总结。 “keystone"的中文意思是拱心石,就是石拱门上面最中间那块石头,将两边的石头塞住不会掉下来,如图:
triz for engineers: enabling inventive problem solving
最新发布
11-18
TRIZ是一种系统性的发明问题解决方法,被广泛应用于工程领域。它通过对已有的技术发明和创新方法的分析总结,提出了一套严谨的发明原理和技术发展模式。工程师可以通过TRIZ方法来激发创新思维,解决工程领域的难题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值