第16章 インスタンスの管理

クラウド管理者は、クラウド上で実行されているインスタンスを監視および管理することができます。

16.1. インスタンスの VNC コンソールへの接続のセキュリティー保護

VNC プロキシーサービスへの受信クライアントの接続用に適用する許可される TLS 暗号と最小プロトコルバージョンを設定することで、インスタンスの VNC コンソールへの接続をセキュアにすることができます。

手順

  1. アンダークラウドに stack ユーザーとしてログインします。
  2. stackrc ファイルを取得します。

    [stack@director ~]$ source ~/stackrc
  3. Compute 環境ファイルを開きます。
  4. インスタンスへの VNC コンソール接続に使用する最小プロトコルバージョンを設定します。

    parameter_defaults:
      ...
      NovaVNCProxySSLMinimumVersion: <version>

    <version> を、許可される最小の SSL/TLS プロトコルバージョンに置き換えます。以下の有効な値のいずれかに設定します。

    • default: 基礎となるシステム OpenSSL のデフォルトを使用します。
    • tlsv1_1: 新しいバージョンをサポートしていないクライアントがある場合に使用します。

      注記

      TLS 1.0 および TLS 1.1 は RHEL 8 で廃止され、RHEL 9 ではサポートされていません。

    • tlsv1_2: インスタンスへの VNC コンソール接続に使用する SSL/TLS 暗号を設定する場合に使用します。
  5. 使用可能な最小の SSL/TLS プロトコルバージョンを tlsv1_2 に設定する場合は、インスタンスへの VNC コンソール接続に使用する SSL/TLS 暗号を設定します。

    parameter_defaults:
      NovaVNCProxySSLCiphers: <ciphers>

    <ciphers> を、許可する暗号スイートのコロン区切りリストに置き換えます。openssl から利用可能な暗号のリストを取得します。

  6. その他の環境ファイルと共に Compute 環境ファイルをスタックに追加して、オーバークラウドをデプロイします。

    (undercloud)$ openstack overcloud deploy --templates \
      -e [your environment files]  \
      -e /home/stack/templates/<compute_environment_file>.yaml