Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
15.3. 대기열 인증 및 액세스 제어
RabbitMQ 및 Qpid는 큐에 대한 액세스를 제어하기 위한 인증 및 액세스 제어 메커니즘을 제공합니다.
SASL(Simple Authentication and Security Layer)은 인터넷 프로토콜에서 인증 및 데이터 보안을 위한 프레임워크입니다. RabbitMQ와 Qpid는 모두 SASL 및 기타 플러그형 인증 메커니즘을 제공하므로 간단한 사용자 이름 및 암호는 인증 보안을 강화할 수 있습니다. RabbitMQ는 SASL을 지원하지만 OpenStack에서 지원은 현재 특정 SASL 인증 메커니즘을 요청할 수 없습니다. OpenStack에서 RabbitMQ 지원을 사용하면 암호화되지 않은 연결 또는 사용자 이름 및 암호에 대한 사용자 이름 및 암호 인증을 X.509 클라이언트 인증서와 함께 사용하여 보안 TLS 연결을 설정할 수 있습니다.
메시징 대기열에 대한 클라이언트 연결과 가능한 경우(현재 Qpid)가 X.509 클라이언트 인증서로 인증을 수행하도록 모든 OpenStack 서비스 노드에서 X.509 클라이언트 인증서를 구성하는 것이 좋습니다. 사용자 이름과 암호를 사용하는 경우 큐에 대한 액세스의 세밀한 감사를 위해 서비스별 및 노드를 생성해야 합니다.
배포하기 전에 대기열 서버에서 사용하는 TLS 라이브러리를 살펴보십시오. Qpid는 Mozilla의 NSS 라이브러리를 사용하는 반면 RabbitMQ는 OpenSSL을 사용하는 Erlang의 TLS 모듈을 사용합니다.
15.3.1. RabbitMQ에 대한 OpenStack 서비스 구성
이 섹션에서는 OpenStack 서비스의 일반적인 RabbitMQ 구성에 대해 설명합니다.
[DEFAULT] rpc_backend = nova.openstack.common.rpc.impl_kombu rabbit_use_ssl = True rabbit_host = RABBIT_HOST rabbit_port = 5671 rabbit_user = compute01 rabbit_password = RABBIT_PASS kombu_ssl_keyfile = /etc/ssl/node-key.pem kombu_ssl_certfile = /etc/ssl/node-cert.pem kombu_ssl_ca_certs = /etc/ssl/cacert.pem
RABBIT_PASS 를 적절한 암호로 교체합니다.
15.3.2. Qpid용 OpenStack 서비스 구성
이 섹션에서는 OpenStack 서비스의 일반적인 Qpid 구성에 대해 설명합니다.
[DEFAULT] rpc_backend = nova.openstack.common.rpc.impl_qpid qpid_protocol = ssl qpid_hostname = <IP or hostname of management network interface of messaging server> qpid_port = 5671 qpid_username = compute01 qpid_password = QPID_PASS
QPID_PASS 를 적절한 암호로 바꿉니다.
선택적으로 Qpid와 함께 SASL을 사용하는 경우 다음을 추가하여 사용할 SASL 메커니즘을 지정합니다.
qpid_sasl_mechanisms = <space separated list of SASL mechanisms to use for auth>
