키 관리자 서비스 설치 > OpenStack 자료실

본문 바로가기
사이트 내 전체검색

OpenStack 자료실

키 관리자 서비스 설치

페이지 정보

profile_image
작성자 jkchoi
댓글 0건 조회 4,547회 작성일 21-10-15 09:34

본문

전제 조건

Key Manager 서비스를 설치 및 구성하기 전에 데이터베이스, 서비스 자격 증명 및 API endpoint를 만들어야 합니다.

1.데이터베이스를 생성하려면 다음 단계를 완료하십시오.

  1) 데이터베이스 액세스 클라이언트를 사용하여 root사용자로 데이터베이스 서버에 연결합니다 .

      $ mysql -u root -p

  2) barbican데이터베이스 생성

      CREATE DATABASE barbican;

  3) barbican데이터베이스에 대한 적절한 액세스 권한 부여

      GRANT ALL PRIVILEGES ON barbican.* TO 'barbican'@'localhost' \
        IDENTIFIED BY 'BARBICAN_DBPASS';
      GRANT ALL PRIVILEGES ON barbican.* TO 'barbican'@'%' \
        IDENTIFIED BY 'BARBICAN_DBPASS';

      - BARBICAN_DBPASS적절한 비밀번호로 교체하십시오 .

  4) 데이터베이스 액세스 클라이언트를 종료합니다.

      exit;


2. admin관리자 전용 CLI 명령에 액세스 하려면 자격 증명을 소싱 합니다.

      $ source admin-openrc


3. 서비스 자격 증명을 생성하려면 다음 단계를 완료하십시오.

  1) barbican사용자 생성

      $ openstack user create --domain default --password-prompt barbican

  2) barbican사용자에게 admin 역할을 추가합니다.

      $ openstack role add --project service --user barbican admin

  3) creator역할 생성

      $ openstack role create creator

  4) barbican사용자에게 creator 역할을 추가합니다.

      $ openstack role add --project service --user barbican creator

  5) barbican 서비스 엔터티를 만듭니다.

      $ openstack service create --name barbican --description "Key Manager" key-manager


4. Key Manager 서비스 API endpoint를 만듭니다.

      $ openstack endpoint create --region RegionOne \
        key-manager public http://controller:9311
      $ openstack endpoint create --region RegionOne \
        key-manager internal http://controller:9311
      $ openstack endpoint create --region RegionOne \
        key-manager admin http://controller:9311



구성 요소 설치 및 구성

1. 패키지 설치

      # yum install openstack-barbican-api


2. /etc/barbican/barbican.conf파일을 편집하고 다음 작업을 완료합니다.

  1) [DEFAULT]섹션에서 구성 데이터베이스 액세스

      [DEFAULT]
      ...
      sql_connection = mysql+pymysql://barbican:BARBICAN_DBPASS@controller/barbican

      - BARBICAN_DBPASS를 Key Manager 서비스 데이터베이스에 대해 선택한 암호로 바꿉니다.

  2) [DEFAULT]섹션에서 구성 RabbitMQ메시지 큐 액세스 :

      [DEFAULT]
      ...
      transport_url = rabbit://openstack:RABBIT_PASS@controller

      - RABBIT_PASS를 RabbitMQ의 openstack 계정에 대해 선택한 비밀번호로 바꿉니다.

  3) [keystone_authtoken]섹션에서 아이덴티티 서비스 액세스 구성

      [keystone_authtoken]
      ...
      auth_uri = http://controller:5000
      auth_url = http://controller:35357
      memcached_servers = controller:11211
      auth_type = password
      project_domain_name = default
      user_domain_name = default
      project_name = service
      username = barbican
      password = BARBICAN_PASS

      - BARBICAN_PASS를 ID 서비스에서 barbican 사용자에 대해 선택한 비밀번호로 바꿉니다.

      - [keystone_authtoken]섹션에서 다른 옵션을 주석 처리하거나 제거 하십시오.


3. /etc/barbican/barbican-api-paste.ini파일을 편집하고 다음 작업을 완료합니다.

  1) [pipeline:barbican_api]섹션에서 신원 서비스 인증 토큰을 사용하는 파이프 라인을 구성합니다.

      [pipeline:barbican_api]
      pipeline = cors authtoken context apiapp


4. Key Manager 서비스 데이터베이스를 채웁니다.

      - Key Manager 서비스 데이터베이스는 서비스가 처음 시작될 때 자동으로 채워집니다. 이를 방지하고 수동으로 데이터베이스 동기화를 실행하려면
        /etc/barbican/barbican.conf파일을 편집하고 [DEFAULT]섹션의 db_auto_create 를 False로 설정합니다.

      그런 다음 아래와 같이 데이터베이스를 채웁니다.

      $ su -s /bin/sh -c "barbican-manage db upgrade" barbican

      - 이 출력에서 ​​사용 중단 메시지를 무시하십시오.

5. Barbican에는 배포자가 다양한 백엔드 비밀 저장소에 비밀을 저장할 수 있는 플러그인 아키텍처가 있습니다.
    기본적으로 Barbican은 기본 파일 기반 키 저장소에 비밀을 저장하도록 구성됩니다. 이 키 저장소는 프로덕션 사용에 안전하지 않습니다.



설치 완료

1. 다음 내용으로 /etc/httpd/conf.d/wsgi-barbican.conf 파일을 만듭니다 .

      <VirtualHost [::1]:9311>
          ServerName controller
     
          ## Logging
          ErrorLog "/var/log/httpd/barbican_wsgi_main_error_ssl.log"
          LogLevel debug
          ServerSignature Off
          CustomLog "/var/log/httpd/barbican_wsgi_main_access_ssl.log" combined

          WSGIApplicationGroup %{GLOBAL}
          WSGIDaemonProcess barbican-api display-name=barbican-api group=barbican processes=2 threads=8 user=barbican
          WSGIProcessGroup barbican-api
          WSGIScriptAlias / "/usr/lib/python2.7/site-packages/barbican/api/app.wsgi"
          WSGIPassAuthorization On
      </VirtualHost>


2. Apache HTTP 서비스를 시작하고 시스템이 부팅될 때 시작하도록 구성합니다.

      # systemctl enable httpd.service
      # systemctl start httpd.service

댓글목록

등록된 댓글이 없습니다.

회원로그인

회원가입

사이트 정보

회사명 : (주)리눅스데이타시스템
대표이사 : 정정모
본사 : 강남구 봉은사로 114길 40 홍선빌딩 2층
- tel : 02-6207-1160
대전지사 : 유성구 노은로174 도원프라자 5층
- tel : 042-331-1161

접속자집계

오늘
1,784
어제
1,461
최대
3,935
전체
1,128,031
Copyright © www.linuxdata.org All rights reserved.