配置OpenStack各服务组件使用SSL通信(HTTPS)

最新推荐文章于 2023-11-11 15:27:02 发布
最新推荐文章于 2023-11-11 15:27:02 发布
阅读量2.2k 收藏 8
点赞数 3
分类专栏: OpenStack
原文链接:https://www.jianshu.com/p/c80636aadebe
版权
本文详细介绍了如何为OpenStack的Keystone、Nova、Glance、Cinder和Neutron组件配置SSL,包括证书生成、环境变量设置、服务端点更新及组件间安全通信配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第1章 配置keystone组件使用SSL

mkdir -p /root/ssl/private
mkdir -p /root/ssl/certs
  • 制作三个密钥证书文件
openssl genrsa -out /root/ssl/private/cakey.pem 1024

openssl req -new -x509 -extensions v3_ca -key /root/ssl/private/cakey.pem -out /root/ssl/certs/ca.pem -days 3650 -config /etc/keystone/ssl/certs/openssl.conf -subj /C=CN/ST=Unset/L=Unset/O=Unset/CN=192.168.247.43

openssl genrsa -out /root/ssl/private/signing_key.pem 1024

openssl req -key /root/ssl/private/signing_key.pem -new -out /root/ssl/certs/req.pem -config /etc/keystone/ssl/certs/openssl.conf -subj /C=CN/ST=Unset/L=Unset/O=Unset/CN=192.168.247.43

openssl ca -batch -out /root/ssl/certs/signing_cert.pem -config /etc/keystone/ssl/certs/openssl.conf -days 3650d -cert /root/ssl/certs/ca.pem -keyfile /root/ssl/private/cakey.pem -infiles /root/ssl/certs/req.pem

得到三个文件:

ca.pem
signing_cert.pem
signing_key.pem

mkdir -p /tmp/pems

将得到的三个文件放到/tmp/pems/目录下。

 

1.1 指定ssl使用的密钥和证书

  • 拷贝pem文件到keystone的ssl目录
cp /tmp/pems/ca.pem /etc/keystone/ssl/certs/
cp /tmp/pems/signing_cert.pem /etc/keystone/ssl/certs/
cp /tmp/pems/signing_key.pem /etc/keystone/ssl/private/
chown keystone:keystone /etc/keystone/ssl –R
  • 修改keystone的配置文件
[eventlet_server_ssl]
enable = True
certfile = /etc/keystone/ssl/certs/signing_cert.pem
keyfile = /etc/keystone/ssl/private/signing_key.pem
ca_certs = /etc/keystone/ssl/certs/ca.pem

1.2 更新keystone组件的endpoint

  • 创建新的endpoint
openstack endpoint create --region RegionOne \
  identity public https://192.168.247.43:5000/v2.0
openstack endpoint create --region RegionOne \
  identity internal https://192.168.247.43:5000/v2.0
openstack endpoint create --region RegionOne \
  identity admin https://192.168.247.43:35357/v2.0

修改环境变量文件

# vi /root/ admin-openrc.sh

unset OS_SERVICE_TOKEN
export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=admin
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=root
export OS_AUTH_URL=https://192.168.208.47:5000/v3 
export OS_IDENTITY_API_VERSION=3
export OS_CACERT=/etc/keystone/ssl/certs/ca.pem
export OS_REGION_NAME=RegionOne
export OS_IMAGE_API_VERSION=2

 

删除旧的endpoint

openstack endpoint list

如果该命令执行失败,重启服务后,使用新的环境变量

# source /root/admin-openrc.sh

  openstack endpoint delete $endpoint_id

$endpoint_id : 旧的keystone endpoint id

 

重启keystone服务

systemctl openstack-keystone restart

确认新的环境变量和新的endpoint可以使用

 # source /root/keystonerc_admin
 openstack endpoint list

 

第2章 配置nova组件使用SSL

2.1 配置使用SSL访问keystone

配置nova.conf,修改keystone认证方式

vi /etc/nova/nova.conf

 [keystone_authtoken]
 auth_uri = https://192.168.247.43:5000
 auth_url = https://192.168.247.43:35357
 cafile=/etc/nova/ssl/ca.pem
 insecure=True
 auth_host=192.168.247.43
 auth_protocol=https

注:auth_uri,auth_url名称不一定正确,以实际组件配置的为准,后续组件配置也是如此,注意注释原来的auth_uri,auth_url

拷贝pem文件到nova的ssl目录

mkdir /etc/nova/ssl
 cp /tmp/pems/* /etc/nova/ssl
 chown nova:nova /etc/nova/ssl -R

 

重启nova服务

openstack-service restart nova

测试keystone认证

nova --debug --insecure hypervisor-list

观察是否获取token

 

2.2 指定nova使用的密钥和证书

修改nova的配置文件

vi /etc/nova/nova.conf

  enabled_ssl_apis = osapi_compute
  ssl_cert_file=/etc/nova/ssl/signing_cert.pem
  ssl_key_file=/etc/nova/ssl/signing_key.pem

 

2.3 更新nova组件的endpoint

  • 创建新的endpoint
openstack endpoint create --region RegionOne \
  compute public https://192.168.208.47:8774/v2/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  compute internal https://192.168.208.47:8774/v2/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  compute admin https://192.168.208.47:8774/v2/%\(tenant_id\)s

删除旧的endpoint

openstack endpoint list
 openstack endpoint delete $endpoint_id

$endpoint_id : 旧的nova endpoint id

重启nova服务

openstack-service restart nova

测试nova服务

nova --debug --insecure hypervisor-list

 

2.4 配置nova以SSL方式访问其他组件

vi /etc/nova/nova.conf

    [cinder]
    endpoint_template=https://192.168.247.43:8776/v2/%(project_id)s
    cafile=/etc/nova/ssl/ca.pem
    [glance]
    protocol=https
    api_servers = https://192.168.247.43:9292
    api_insecure=True
    [neutron]
    url = https://192.168.247.43:9696
    auth_url = https://192.168.247.43:35357
    cafile=/etc/nova/ssl/ca.pem
    insecure=True

 

第3章 配置glance组件使用SSL

3.1 配置使用SSL访问keystone

配置glance,修改keystone认证方式

# vi /etc/glance/glance-api.conf

  [keystone_authtoken]
  auth_uri = https://192.168.247.43:5000
  auth_url = https://192.168.247.43:35357
  cafile=/etc/glance/ssl/ca.pem
  insecure=True
  auth_host= 192.168.247.43
  auth_protocol=https


# vi /etc/glance/glance-registry.conf

[keystone_authtoken]
auth_uri = https://192.168.247.43:5000
auth_url = https://192.168.247.43:35357
cafile=/etc/glance/ssl/ca.pem
insecure=True
auth_host= 192.168.247.43
auth_protocol=https


 # vi /etc/glance/glance-cache.conf

[DEFAULT]
auth_url=https://192.168.247.43:5000

 

拷贝pem文件到glance的ssl目录

mkdir /etc/glance/ssl
  cp /tmp/pems/* /etc/glance/ssl
  chown glance:glance /etc/glance/ssl -R

 

重启glance服务

 systemctl openstack-glance-api restart
  systemctl openstack-glance-registry restart

测试keystone认证

nova --debug image-list

 

3.2 指定glance使用的密钥和证书

修改glance的配置文件

# vi /etc/glance/glance-api.conf

 [DEFAULT]
 cert_file=/etc/glance/ssl/signing_cert.pem
 key_file=/etc/glance/ssl/signing_key.pem
 registry_client_protocol=https
 registry_client_ca_file=/etc/glance/ssl/ca.pem


 #vi /etc/glance/glance-registry.conf

 [DEFAULT]
 cert_file=/etc/glance/ssl/signing_cert.pem
 key_file=/etc/glance/ssl/signing_key.pem

 

3.3 更新glance组件的endpoint

  • 创建新的endpoint
openstack endpoint create --region RegionOne \
  image public https://192.168.247.43:9292
openstack endpoint create --region RegionOne \
  image internal https://192.168.247.43:9292
openstack endpoint create --region RegionOne \
  image admin https://192.168.247.43:9292

 

删除旧的endpoint

openstack endpoint-list
openstack endpoint-delete $endpoint_id

$endpoint_id : 旧的glance endpoint id

重启glance服务

systemctl openstack-glance-api restart
systemctl openstack-glance-registry restart

测试glance服务

nova --debug image-list

 

3.4 配置glance以SSL方式访问其他组件

# vi /etc/glance/glance-api.conf

   [glance_store]
   cinder_endpoint_template=https://192.168.247.43:8776/v2/%(project_id)s

  # vi /etc/glance/glance-registry.conf

    [glance_store]
    cinder_endpoint_template=https://192.168.247.43:8776/v2/%(project_id)s

 

第4章 配置cinder组件使用SSL

4.1 配置使用SSL访问keystone

配置cinder配置文件

# vi /etc/cinder/cinder.conf

 [keystone_authtoken]
 auth_uri = https://192.168.247.43:5000
 auth_url = https://192.168.247.43:35357
 cafile=/etc/cinder/ssl/ca.pem
 insecure = True
 auth_host = 192.168.247.43
 auth_protocol = https

拷贝pem文件到cinder的ssl目录

mkdir /etc/cinder/ssl
 cp /tmp/pems/* /etc/cinder/ssl
 chown cinder:cinder /etc/cinder/ssl -R

 

重启cinder服务

openstack-service restart glance

测试keystone认证

cinder --debug list

可能出错,原因在于网络组件未配置https,观察是否已经获取到Token

4.2 指定cinder使用的密钥和证书

修改cinder的配置文件

#vi /etc/cinder/cinder.conf

 [DEFAULT]
 ssl_cert_file=/etc/cinder/ssl/signing_cert.pem
 ssl_key_file=/etc/cinder/ssl/signing_key.pem

4.3 更新cinder组件的endpoint

  • 创建新的endpoint
openstack endpoint create --region RegionOne \
  volume public https://192.168.247.43:8776/v1/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  volume internal https://192.168.247.43:8776/v1/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  volume admin https://192.168.247.43:8776/v1/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  volumev2 public https://192.168.247.43:8776/v2/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  volumev2 internal https://192.168.247.43:8776/v2/%\(tenant_id\)s
openstack endpoint create --region RegionOne \
  volumev2 admin https://192.168.247.43:8776/v2/%\(tenant_id\)s

 

删除旧的endpoint

openstack endpoint-list
  openstack endpoint-delete $endpoint_id

$endpoint_id : 旧的cinder endpoint id

重启cinder服务

openstack-service restart cinder

 

测试cinder服务

cinder service-list

 

4.4 配置cinder以SSL方式访问其他组件

# vi /etc/cinder/cinder.conf

[DEFAULT]
glance_host = 192.168.247.43
glance_api_servers = https://192.168.247.43:9292
glance_api_insecure = True
glance_ca_certificates_file = /etc/cinder/ssl/ca.pem
nova_endpoint_template = https://192.168.247.43:8774/v2/%(project_id)s
nova_ca_certificates_file = /etc/cinder/ssl/ca.pem
nova_api_insecure = True

 

第5章 配置neutron组件使用SSL

5.1 配置使用SSL访问keystone

修改neutron配置文件

# vi /etc/neutron/metadata_agent.ini

 auth_url = https://192.168.247.43:35357
 auth_uri = https://192.168.247.43:5000

 # vi /etc/neutron/neutron.conf

 [keystone_authtoken]
 auth_url = https://192.168.247.43:35357
 auth_uri = https://192.168.247.43:5000
 identity_uri = https://192.168.247.43:5000
 cafile=/etc/neutron/ssl/ca.pem
 insecure=True
 auth_host=192.168.247.43
 auth_protocol=https

 

拷贝pem文件到neutron的ssl目录

mkdir /etc/neutron/ssl
  cp /tmp/pems/* /etc/neutron/ssl
  chown neutron:neutron /etc/neutron/ssl -R

重启neutron服务

 openstack-service restart neutron

测试keystone认证

 neutron --debug net-list

观察是否获取到Token

 

5.2 指定neutron使用的密钥和证书

修改neutron的配置文件

# vi /etc/neutron/neutron.conf

  [ DEFAULT]
  use_ssl = True
  ssl_cert_file = /etc/neutron/ssl/signing_cert.pem
  ssl_key_file = /etc/neutron/ssl/signing_key.pem

5.3 更新neutron组件的endpoint

  • 创建新的endpoint
openstack endpoint create --region RegionOne \
  network public https://192.168.247.43:9696
openstack endpoint create --region RegionOne \
  network internal https://192.168.247.43:9696
openstack endpoint create --region RegionOne \
  network admin https://192.168.247.43:9696

删除旧的endpoint

openstack endpoint list
openstack endpoint delete $endpoint_id

$endpoint_id : 旧的neutron endpoint id

重启neutron服务

openstack-service restart neutron

测试neutron服务

nova net-list

5.4 配置neutron以SSL方式访问其他组件

# vi /etc/neutron/neutron.conf

[DEFAULT]
nova_url = https://192.168.247.43:8774/v2

 

kolla部署的openstack配置https
liu_baoqing的博客
08-19 1820
环境:   openstack版本:N版   部署方式:kolla(所有服务都运行在docker里面) 一、配置horizon为https访问   注意:我们使用自签名证书,生成证书时输入的Common Name要能匹配horizon的域名。   1. yum install mod_ssl openssl   2. openssl genrsa -out horizon.ke
手把手教你:将OpenStack私有云平台从HTTP升级到HTTPS访问(附完整配置流程)
最新发布
2402_83235349的博客
03-28 758
本文详细讲解如何将OpenStack私有云平台的访问协议从HTTP升级到HTTPS。通过配置Apache服务SSL证书及Horizon参数,强制启用安全加密传输。涵盖本地仓库配置组件安装、证书生成、防火墙设置及安全策略优化,并提供常见问题排查方法,助力企业提升云平台安全性。
openstack云平台访问安全http->https
流金岁月的专栏
06-10 3628
Ubuntu下HTTPS配置非常简单,对大部分用户而言,使用普通的自签名证书,只需按照步骤进行就可以了,无需了解密钥、证书的更多知识,更深的背景知识还有RSA算法、DES算法、X509规范、CA机构...等等,随便哪个方向都够学习一阵子的,所幸的是有了OpenSSL、OpenSSH等这些开源免费的软件,把很多底层的算法、规范都集成了,对上层应用而言,只需一二三操作即可,至多到官网去查查一些特殊的命
openstack train 版 各组件升级https
weixin_42159480的博客
06-30 983
一 环境准备阶段 基本环境: OS系统:Centos7.6 python: python2.7.5 openstack版本:train 1. 生成ssl需要的ca文件 openssl genrsa -out server.key 4096 openssl req -new -sha256 -out server.csr -key server.key -config ssl.conf openssl x509 -req -days 10950 -in server.csr -signke..
openstack使用--通过http来访问操作
jackjack博客
09-13 1357
openstack相关使用链接到本人相应的百度网盘
OpenStack 给nova组件 vnc 配置httpsSSL)自验证签名证书
Alden_Han's blog
07-21 3140
openstack中默认的各个组件之间通信都是用的http,包括horizon都是,这就对一些web开发上出现一些问题。我这边开发spring项目在外网,https是再正常不过的事,所以就开始想办法给openstack配置SSL,但是在生产过程中,用到的签名都是自己生成的,这就埋下了隐患。主要展示给nova组件 配置nginx转发http至https 以达到配置https的目的.........
Openstack RabbitMQ配置管理以及对SSL的支持
haoshuwei531024的专栏
07-22 2734
SSL文件: [root@controller ssl]# pwd /etc/rabbitmq/ssl [root@controller ssl]# ls cacert.pem cert.pem key.pem RabbitMQ 中SSL配置: [root@controller rabbitmq]# cat rabbitmq.config [ {kernel, [ ]
openstack 关于实例通信
04-04
因此,OpenStack 系统管理员需要确保实例通信的安全性,例如使用 SSL/TLS 加密、防火墙规则等安全措施。 四、结论 OpenStack 实例通信是云计算系统中一个非常重要的组件,能够提高系统的性能和安全性。在本文中,...
OpenStack安装neutron组件部署(六)
weixin_51725822的博客
03-19 889
OpenStack安装neutron组件部署创建数据库neutron,并进行授权ct控制节点操作1、创建neutron用户,用于在keystone做认证2、将neutron用户添加到service项目中拥有管理员权限3、创建network服务服务类型为network4、注册API到neutron服务,给neutron服务关联端口,即添加endpoint5、安装提供者网络(桥接)6、更改主配置文件7、修改 ML2 plugin 配置文件 ml2_conf.ini8、修改 linux bridge netwo
openstack核心组件-nova-计算服务
PpikachuP的博客
04-11 3434
nova介绍: Nova 是 OpenStack 最核心的服务,负责维护和管理云环境的计算资源。OpenStack 作为 IaaS 的云操作系统,虚拟机生命周期管理也就是通过 Nova 来实现的。 用途与功能 : 1 实例生命周期管理 2 管理计算资源 3 网络和认证管理 4 REST 风格的 API 5 异步的一致性通信 6 Hypervisor 透明:支持Xen,XenServer/XCP,K...
OpenStack T版—Neutron组件部署详解
繁星若渺的博客
02-25 1642
目录一、OpenStack网络1.1、OpenStack网络概述1.2、Linux虚拟网络1.3、OpenStack网络基础服务1.4、Neutron主要插件、代理与服务1.5、小结二、OpenStack-neutron组件部署2.1、创建数据库neutron,并进行授权2.2、创建neutron用户,用于在keystone做认证2.2.1、注册API到neutron服务,给neutron服务关联端口,即添加endpoint2.3、安装提供者网络2.3.1、更改主配置文件2.3.2、修改 ML2 plugi
OpenStack-glance服务-glance-api.conf配置文件
10-21
OpenStack-glance服务-glance-api.conf配置文件,在配置OpenStack的glance服务中,配置文件glance-api.conf需要进行部分修改,进而来适应各种服务,该文件为修改完成的glance-api.conf文件内容。
OpenStack Swift对象存储服务配置使用详解
OpenStack Swift对象存储服务是一种高可用、分布式的对象存储系统,可用于存储大规模的非结构化数据。相比于传统的文件存储系统,Swift具有更好的扩展性和容错性,适用于云环境和大规模数据存储需求。 ## 1.1 什么...
OpenStack REST API 的 SSL 配置
Maze -- life is amazing
03-31 911
转自:https://www.ibm.com/developerworks/cn/cloud/library/1501_xiaohh_openstackrestssl/index.html --------------------------------------------------------------------------------------------------------
OpenStack SSL (by joshua)
技术并艺术着
02-07 1392
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (作者:张华 发表于:2018-02-07) OpenStack Charm如何支持SSL OpenStack Charm需为每个OpenStack服务配置证书(/var/lib/keystone/juju_ssl/, /usr/local/share/ca-certificates/)https end
OpenStack安装glance组件(图文详解)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
03-15 2373
文章目录OpenStack-Glance组件部署一、创建数据库实例和数据库用户二、创建用户、修改配置文件三、小结1、部署思路: OpenStack-Glance组件部署 一、创建数据库实例和数据库用户 mysql -u root -p CREATE DATABASE glance; GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'localhost' IDENTIFIED BY 'GLANCE_DBPASS'; GRANT ALL PRIVILEGES ON gl
openstack keystone创建identify服务报错(http://controller:35357/V3/services): The resource could not be fou
qq_52122458的博客
04-24 1256
*[root@controller ~]# openstack service create --name keystone --description "openstack identity" identity** **(http://controller:35357/V3/services): The resource could not be found. (HTTP 404)** export查看变量 declare -x MAIL="/var/spool/mail/root" declar...
基于ubuntu22.04手动安装openstack——2023.2版本(最新版)的问题汇总
m0_57776598的博客
11-11 2261
基于ubuntu22.04搭建openstack——2023.2版本(最新版)问题总结
OpenStack 安装向导之配置identity服务
Jesse的黑洞
08-14 3260
 OpenStack 安装向导之配置identity服务   Identity Service内容          Identity服务执行以下功能:                    用户管理,跟踪用户和他们的权限                    服务目录,提供一个有效地服务目录(用他们的API)          为了更好的理
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值