Amphorae 与 Octavia Worker 的安全通信实现

前言

在前面的章节中我们记录了 LoadBalancer、Listener、Pool、Member 等等 Octavia 核心资源对象的创建流程，本篇我们在此之上继续讨论处于 LB Management Network 上的 Amphorae 虚拟机是如何与处于 OpenStack Management Network 上的 Octavia Worker 进行安全通信的。

为什么 Octavia 需要自建 CA 证书？

首先我们提出一个问题：为什么 Octavia 需要自建 CA 而不使用 OpenStack 的通用认证体系？

答案是：For production use the ca issuing the client certificate and the ca issuing the server certificate need to be different so a hacker can’t just use the server certificate from a compromised amphora to control all the others.

简而言之，Octavia 自建 CA 证书主要有两个必要：

• amphora-agent 没有加入 OpenStack 鉴权体系，需要证书来保证通讯安全
• 防止恶意用户利用 amphora 作为 “肉鸡” 攻击 OpenStack 的内部网络