20장. 전체 디스크 이미지 생성

기본 오버클라우드 이미지는 이미지 자체에 파티셔닝 정보 또는 부트로더가 포함되지 않은 플랫 파티션 이미지입니다. director는 노드를 부팅할 때 별도의 커널 및 램디스크를 사용하고 오버클라우드 이미지를 디스크에 쓸 때 기본 파티션 레이아웃을 생성합니다. 하지만 파티션 레이아웃, 부트로더 및 강화된 보안 기능이 포함된 전체 디스크 이미지를 생성할 수 있습니다.

중요

다음 프로세스는 director의 이미지 구축 기능을 사용합니다. Red Hat은 이 섹션에 포함된 가이드라인을 사용하여 빌드된 이미지만 지원합니다. 이 사양을 벗어나서 빌드된 사용자 지정 이미지는 지원되지 않습니다.

20.1. 보안 강화 조치

전체 디스크 이미지에는 보안이 중요한 기능인 Red Hat OpenStack Platform 배포에 필요한 추가 보안 강화 조치가 포함되어 있습니다. 다음 권장 사항 목록을 고려해서 이미지를 생성합니다.

  • /tmp 디렉터리가 별도의 볼륨이나 파티션에 마운트되어 있고 rw, nosuid, nodev, noexec, relatime 플래그가 있습니다.
  • /var, /var/log, /var/log/audit 디렉터리는 별도의 볼륨이나 파티션에 마운트되어 있고 rwrelatime 플래그가 있습니다.
  • /home 디렉터리는 별도의 파티션이나 볼륨에 마운트되어 있고 rw, nodev, relatime 플래그가 있습니다.
  • GRUB_CMDLINE_LINUX 설정에 대한 다음 변경 사항을 포함합니다.

    • 감사를 활성화하려면 audit=1 커널 부트 플래그를 추가합니다.
    • 부트 로더 설정을 사용하는 USB에 대해 커널 지원을 비활성화하려면 nousb를 추가합니다.
    • 비보안 부트 플래그를 삭제하려면 crashkernel=auto를 설정합니다.
  • 비보안 모듈(usb-storage, cramfs, freevxfs, jffs2, hfs, hfsplus, squashfs, udf, vfat)을 블랙리스트로 지정하고 이러한 모듈이 로드되지 않도록 합니다.
  • 기본적으로 설치한 이미지에서 비보안 패키지(kexec-toolstelnet이 설치한 kdump)를 삭제합니다.