第 23 章 创建完整磁盘镜像

主 overcloud 镜像是不包含分区信息或引导加载程序的平面分区镜像。director 在引导节点时使用单独的内核和 ramdisk,并在将 overcloud 镜像写入磁盘时创建基本分区布局。但是,您可以创建包含分区布局、引导加载程序和强化安全防护的完整磁盘镜像。

重要

以下过程会使用 director 的镜像构建功能。红帽只支持使用本节中所含的准则构建的镜像。未按这些规范构建的自定义镜像不受支持。

23.1. 安全强化措施

完整磁盘镜像(whole disk image)包括了额外的安全强化措施,可用于在需要高安全性的环境中部署 Red Hat OpenStack Platform。

用于创建镜像的安全建议

  • /tmp 目录会挂载到独立的卷或分区上,并包含 rwnosuidnodevnoexecrelatime 标志。
  • /var/var/log/var/log/audit 目录挂载到单独的卷或分区上,并包含 rwrelatime 标志。
  • /home 目录挂载到单独的分区或卷上,并包含 rwnodevrelatime 标志。
  • GRUB_CMDLINE_LINUX 设置做出以下更改:

    • 要启用审核,可添加 audit=1 内核引导标志。
    • 要禁用使用引导加载程序配置的 USB 的内核支持,请添加 nousb
    • 要删除不安全的引导标志,请设置 crashkernel=auto
  • 将不安全的模块(usb-storagecramfsfreevxfsjffs2hfshfsplussquashfsudfvfat)列入黑名单并防止这些模块加载。
  • 从镜像中删除任何不安全的软件包(由 kexec-tools 安装的 kdump 以及 telnet),因为他们是默认安装的。