키 관리자 서비스 설치
페이지 정보
작성자 jkchoi 작성일 21-10-15 09:34 조회 4,554 댓글 0본문
전제 조건
Key Manager 서비스를 설치 및 구성하기 전에 데이터베이스, 서비스 자격 증명 및 API endpoint를 만들어야 합니다.
1.데이터베이스를 생성하려면 다음 단계를 완료하십시오.
1) 데이터베이스 액세스 클라이언트를 사용하여 root사용자로 데이터베이스 서버에 연결합니다 .
$ mysql -u root -p
2) barbican데이터베이스 생성
CREATE DATABASE barbican;
3) barbican데이터베이스에 대한 적절한 액세스 권한 부여
GRANT ALL PRIVILEGES ON barbican.* TO 'barbican'@'localhost' \
IDENTIFIED BY 'BARBICAN_DBPASS';
GRANT ALL PRIVILEGES ON barbican.* TO 'barbican'@'%' \
IDENTIFIED BY 'BARBICAN_DBPASS';
- BARBICAN_DBPASS적절한 비밀번호로 교체하십시오 .
4) 데이터베이스 액세스 클라이언트를 종료합니다.
exit;
2. admin관리자 전용 CLI 명령에 액세스 하려면 자격 증명을 소싱 합니다.
$ source admin-openrc
3. 서비스 자격 증명을 생성하려면 다음 단계를 완료하십시오.
1) barbican사용자 생성
$ openstack user create --domain default --password-prompt barbican
2) barbican사용자에게 admin 역할을 추가합니다.
$ openstack role add --project service --user barbican admin
3) creator역할 생성
$ openstack role create creator
4) barbican사용자에게 creator 역할을 추가합니다.
$ openstack role add --project service --user barbican creator
5) barbican 서비스 엔터티를 만듭니다.
$ openstack service create --name barbican --description "Key Manager" key-manager
4. Key Manager 서비스 API endpoint를 만듭니다.
$ openstack endpoint create --region RegionOne \
key-manager public http://controller:9311
$ openstack endpoint create --region RegionOne \
key-manager internal http://controller:9311
$ openstack endpoint create --region RegionOne \
key-manager admin http://controller:9311
구성 요소 설치 및 구성
1. 패키지 설치
# yum install openstack-barbican-api
2. /etc/barbican/barbican.conf파일을 편집하고 다음 작업을 완료합니다.
1) [DEFAULT]섹션에서 구성 데이터베이스 액세스
[DEFAULT]
...
sql_connection = mysql+pymysql://barbican:BARBICAN_DBPASS@controller/barbican
- BARBICAN_DBPASS를 Key Manager 서비스 데이터베이스에 대해 선택한 암호로 바꿉니다.
2) [DEFAULT]섹션에서 구성 RabbitMQ메시지 큐 액세스 :
[DEFAULT]
...
transport_url = rabbit://openstack:RABBIT_PASS@controller
- RABBIT_PASS를 RabbitMQ의 openstack 계정에 대해 선택한 비밀번호로 바꿉니다.
3) [keystone_authtoken]섹션에서 아이덴티티 서비스 액세스 구성
[keystone_authtoken]
...
auth_uri = http://controller:5000
auth_url = http://controller:35357
memcached_servers = controller:11211
auth_type = password
project_domain_name = default
user_domain_name = default
project_name = service
username = barbican
password = BARBICAN_PASS
- BARBICAN_PASS를 ID 서비스에서 barbican 사용자에 대해 선택한 비밀번호로 바꿉니다.
- [keystone_authtoken]섹션에서 다른 옵션을 주석 처리하거나 제거 하십시오.
3. /etc/barbican/barbican-api-paste.ini파일을 편집하고 다음 작업을 완료합니다.
1) [pipeline:barbican_api]섹션에서 신원 서비스 인증 토큰을 사용하는 파이프 라인을 구성합니다.
[pipeline:barbican_api]
pipeline = cors authtoken context apiapp
4. Key Manager 서비스 데이터베이스를 채웁니다.
- Key Manager 서비스 데이터베이스는 서비스가 처음 시작될 때 자동으로 채워집니다. 이를 방지하고 수동으로 데이터베이스 동기화를 실행하려면
/etc/barbican/barbican.conf파일을 편집하고 [DEFAULT]섹션의 db_auto_create 를 False로 설정합니다.
그런 다음 아래와 같이 데이터베이스를 채웁니다.
$ su -s /bin/sh -c "barbican-manage db upgrade" barbican
- 이 출력에서 사용 중단 메시지를 무시하십시오.
5. Barbican에는 배포자가 다양한 백엔드 비밀 저장소에 비밀을 저장할 수 있는 플러그인 아키텍처가 있습니다.
기본적으로 Barbican은 기본 파일 기반 키 저장소에 비밀을 저장하도록 구성됩니다. 이 키 저장소는 프로덕션 사용에 안전하지 않습니다.
설치 완료
1. 다음 내용으로 /etc/httpd/conf.d/wsgi-barbican.conf 파일을 만듭니다 .
<VirtualHost [::1]:9311>
ServerName controller
## Logging
ErrorLog "/var/log/httpd/barbican_wsgi_main_error_ssl.log"
LogLevel debug
ServerSignature Off
CustomLog "/var/log/httpd/barbican_wsgi_main_access_ssl.log" combined
WSGIApplicationGroup %{GLOBAL}
WSGIDaemonProcess barbican-api display-name=barbican-api group=barbican processes=2 threads=8 user=barbican
WSGIProcessGroup barbican-api
WSGIScriptAlias / "/usr/lib/python2.7/site-packages/barbican/api/app.wsgi"
WSGIPassAuthorization On
</VirtualHost>
2. Apache HTTP 서비스를 시작하고 시스템이 부팅될 때 시작하도록 구성합니다.
# systemctl enable httpd.service
# systemctl start httpd.service
Key Manager 서비스를 설치 및 구성하기 전에 데이터베이스, 서비스 자격 증명 및 API endpoint를 만들어야 합니다.
1.데이터베이스를 생성하려면 다음 단계를 완료하십시오.
1) 데이터베이스 액세스 클라이언트를 사용하여 root사용자로 데이터베이스 서버에 연결합니다 .
$ mysql -u root -p
2) barbican데이터베이스 생성
CREATE DATABASE barbican;
3) barbican데이터베이스에 대한 적절한 액세스 권한 부여
GRANT ALL PRIVILEGES ON barbican.* TO 'barbican'@'localhost' \
IDENTIFIED BY 'BARBICAN_DBPASS';
GRANT ALL PRIVILEGES ON barbican.* TO 'barbican'@'%' \
IDENTIFIED BY 'BARBICAN_DBPASS';
- BARBICAN_DBPASS적절한 비밀번호로 교체하십시오 .
4) 데이터베이스 액세스 클라이언트를 종료합니다.
exit;
2. admin관리자 전용 CLI 명령에 액세스 하려면 자격 증명을 소싱 합니다.
$ source admin-openrc
3. 서비스 자격 증명을 생성하려면 다음 단계를 완료하십시오.
1) barbican사용자 생성
$ openstack user create --domain default --password-prompt barbican
2) barbican사용자에게 admin 역할을 추가합니다.
$ openstack role add --project service --user barbican admin
3) creator역할 생성
$ openstack role create creator
4) barbican사용자에게 creator 역할을 추가합니다.
$ openstack role add --project service --user barbican creator
5) barbican 서비스 엔터티를 만듭니다.
$ openstack service create --name barbican --description "Key Manager" key-manager
4. Key Manager 서비스 API endpoint를 만듭니다.
$ openstack endpoint create --region RegionOne \
key-manager public http://controller:9311
$ openstack endpoint create --region RegionOne \
key-manager internal http://controller:9311
$ openstack endpoint create --region RegionOne \
key-manager admin http://controller:9311
구성 요소 설치 및 구성
1. 패키지 설치
# yum install openstack-barbican-api
2. /etc/barbican/barbican.conf파일을 편집하고 다음 작업을 완료합니다.
1) [DEFAULT]섹션에서 구성 데이터베이스 액세스
[DEFAULT]
...
sql_connection = mysql+pymysql://barbican:BARBICAN_DBPASS@controller/barbican
- BARBICAN_DBPASS를 Key Manager 서비스 데이터베이스에 대해 선택한 암호로 바꿉니다.
2) [DEFAULT]섹션에서 구성 RabbitMQ메시지 큐 액세스 :
[DEFAULT]
...
transport_url = rabbit://openstack:RABBIT_PASS@controller
- RABBIT_PASS를 RabbitMQ의 openstack 계정에 대해 선택한 비밀번호로 바꿉니다.
3) [keystone_authtoken]섹션에서 아이덴티티 서비스 액세스 구성
[keystone_authtoken]
...
auth_uri = http://controller:5000
auth_url = http://controller:35357
memcached_servers = controller:11211
auth_type = password
project_domain_name = default
user_domain_name = default
project_name = service
username = barbican
password = BARBICAN_PASS
- BARBICAN_PASS를 ID 서비스에서 barbican 사용자에 대해 선택한 비밀번호로 바꿉니다.
- [keystone_authtoken]섹션에서 다른 옵션을 주석 처리하거나 제거 하십시오.
3. /etc/barbican/barbican-api-paste.ini파일을 편집하고 다음 작업을 완료합니다.
1) [pipeline:barbican_api]섹션에서 신원 서비스 인증 토큰을 사용하는 파이프 라인을 구성합니다.
[pipeline:barbican_api]
pipeline = cors authtoken context apiapp
4. Key Manager 서비스 데이터베이스를 채웁니다.
- Key Manager 서비스 데이터베이스는 서비스가 처음 시작될 때 자동으로 채워집니다. 이를 방지하고 수동으로 데이터베이스 동기화를 실행하려면
/etc/barbican/barbican.conf파일을 편집하고 [DEFAULT]섹션의 db_auto_create 를 False로 설정합니다.
그런 다음 아래와 같이 데이터베이스를 채웁니다.
$ su -s /bin/sh -c "barbican-manage db upgrade" barbican
- 이 출력에서 사용 중단 메시지를 무시하십시오.
5. Barbican에는 배포자가 다양한 백엔드 비밀 저장소에 비밀을 저장할 수 있는 플러그인 아키텍처가 있습니다.
기본적으로 Barbican은 기본 파일 기반 키 저장소에 비밀을 저장하도록 구성됩니다. 이 키 저장소는 프로덕션 사용에 안전하지 않습니다.
설치 완료
1. 다음 내용으로 /etc/httpd/conf.d/wsgi-barbican.conf 파일을 만듭니다 .
<VirtualHost [::1]:9311>
ServerName controller
## Logging
ErrorLog "/var/log/httpd/barbican_wsgi_main_error_ssl.log"
LogLevel debug
ServerSignature Off
CustomLog "/var/log/httpd/barbican_wsgi_main_access_ssl.log" combined
WSGIApplicationGroup %{GLOBAL}
WSGIDaemonProcess barbican-api display-name=barbican-api group=barbican processes=2 threads=8 user=barbican
WSGIProcessGroup barbican-api
WSGIScriptAlias / "/usr/lib/python2.7/site-packages/barbican/api/app.wsgi"
WSGIPassAuthorization On
</VirtualHost>
2. Apache HTTP 서비스를 시작하고 시스템이 부팅될 때 시작하도록 구성합니다.
# systemctl enable httpd.service
# systemctl start httpd.service
댓글목록 0
등록된 댓글이 없습니다.