16.4. 이미지 생성

OpenStack 설명서에서는 이미지를 만들고 이미지 서비스에 업로드하는 방법에 대한 지침을 제공합니다. 또한 게스트 운영 체제를 설치하고 강화하는 프로세스가 있다고 가정합니다. 다음 항목은 이미지를 OpenStack으로 전송하는 방법에 대한 추가 지침을 제공합니다. 이미지를 가져오는 데는 다양한 옵션이 있습니다. 각각에는 이미지의 출처를 확인하는 데 도움이 되는 특정 단계가 있습니다.

  • 옵션 1: 신뢰할 수 있는 소스에서 부팅 미디어를 가져옵니다. 예를 들어 공식 Red Hat 소스에서 이미지를 다운로드한 다음 추가 체크섬 유효성 검사를 수행할 수 있습니다.
  • 옵션 2: OpenStack 가상 시스템 이미지 가이드 사용. 이 경우 조직 OS 강화 지침을 준수하려고 합니다.
  • 옵션 3: 자동화된 이미지 빌더 사용. 다음 예제에서는 Oz 이미지 빌더를 사용합니다. OpenStack 커뮤니티는 최근에 disk-image-builder 라는 새로운 도구를 생성했으며 아직 보안 평가를 받지 않았습니다.

이 예제에서 RHEL 6 CCE-26976-1 은 Oz 내에서 NIST 800-53 섹션 AC-19(d)를 구현하는 데 도움이 됩니다.

<template>
<name>centos64</name>
<os>
  <name>RHEL-6</name>
  <version>4</version>
  <arch>x86_64</arch>
  <install type='iso'>
  <iso>http://trusted_local_iso_mirror/isos/x86_64/RHEL-6.4-x86_64-bin-DVD1.iso</iso>
  </install>
  <rootpw>CHANGE THIS TO YOUR ROOT PASSWORD</rootpw>
</os>
<description>RHEL 6.4 x86_64</description>
<repositories>
  <repository name='epel-6'>
  <url>http://download.fedoraproject.org/pub/epel/6/$basearch</url>
  <signed>no</signed>
  </repository>
</repositories>
<packages>
  <package name='epel-release'/>
  <package name='cloud-utils'/>
  <package name='cloud-init'/>
</packages>
<commands>
  <command name='update'>
  yum update
  yum clean all
  sed -i '/^HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth0
  echo -n > /etc/udev/rules.d/70-persistent-net.rules
  echo -n > /lib/udev/rules.d/75-persistent-net-generator.rules
  chkconfig --level 0123456 autofs off
  service autofs stop
  </command>
</commands>
</template>

수동 이미지 빌드 프로세스는 복잡하고 오류가 발생하기 쉬운 것을 피하는 것이 좋습니다. 또한 이미지 빌드를 위해 Oz와 같은 자동 시스템 또는 부팅 후 이미지 강화를 위한 구성 관리 유틸리티(예: Chef 또는 Puppet)를 사용하면 일관된 이미지를 생성할 수 있으며, 시간 경과에 따라 기본 이미지의 규정 준수를 추적할 수 있습니다.

공용 클라우드 서비스를 서브스크립션하는 경우 클라우드 공급자에게 기본 이미지를 생성하는 데 사용되는 프로세스의 개요를 확인해야 합니다. 공급자가 자체 이미지를 업로드할 수 있는 경우 인스턴스를 생성하는 데 사용하기 전에 이미지가 수정되지 않았는지 확인해야 합니다. 이렇게 하려면 _ 이미지 서명 확인에 있는 다음 섹션을 참조하거나 서명을 사용할 수 없는 경우 다음 단락을 참조하십시오.

이미지 서비스(glance)는 이미지를 노드의 계산 서비스에 업로드하는 데 사용합니다. 이 전송은 TLS를 통해 더욱 강화되어야 합니다. 이미지가 노드에 있으면 기본 체크섬으로 확인되며, 해당 디스크는 시작 중인 인스턴스의 크기에 따라 확장됩니다. 나중에 이 노드에서 동일한 인스턴스 크기로 동일한 이미지가 시작되면 동일한 확장된 이미지에서 시작됩니다. 이 확장된 이미지는 시작하기 전에 기본적으로 다시 확인되지 않으므로 변조를 겪은 위험이 있습니다. 결과 이미지에서 파일을 수동으로 검사하지 않는 한 사용자는 변조를 알지 못합니다. 이 문제를 완화하려면 이미지 서명 확인 항목에 대한 다음 섹션을 참조하십시오.