3.1 安全

OpenStack 服务支持各种安全方法，包括密码、策略和加密。此外，数据库服务和消息代理也支持密码安全。

为了简化安装过程，本指南只涉及适用的密码安全。您可以手动创建安全密码，但是服务配置文件中的数据库连接字符串不能接受像 “@” 这样的特殊字符。我们建议您使用 pwgen 之类的工具生成它们，或者运行以下命令：

$ openssl rand -hex 10

对于 OpenStack 服务，本指南使用 SERVICE_PASS 作为服务帐户密码，使用 SERVICE_DBPASS 作为数据库密码。

下表提供了在指南中需要密码及其相关引用的服务列表。

Password name	Description
Database password (no variable used)	Root password for the database
ADMIN_PASS	Password of user admin
CINDER_DBPASS	Database password for the Block Storage service
CINDER_PASS	Password of Block Storage service user cinder
DASH_DBPASS	Database password for the Dashboard
DEMO_PASS	Password of user demo
GLANCE_DBPASS	Database password for Image service
GLANCE_PASS	Password of Image service user glance
KEYSTONE_DBPASS	Database password of Identity service
METADATA_SECRET	Secret for the metadata proxy
NEUTRON_DBPASS	Database password for the Networking service
NEUTRON_PASS	Password of Networking service user neutron
NOVA_DBPASS	Database password for Compute service
NOVA_PASS	Password of Compute service user nova
PLACEMENT_PASS	Password of the Placement service user placement
RABBIT_PASS	Password of user guest of RabbitMQ

OpenStack 和支持服务在安装和操作过程中需要管理特权。在某些情况下，服务会对主机进行修改，从而干扰部署自动化工具，如 Ansible、Chef 和 Puppet。例如，一些 OpenStack 服务为 sudo 添加了一个 root 包装器，会干扰安全策略。有关更多信息，请参阅 OpenStack 管理员指南。

网络服务假定内核网络参数为默认值，并修改防火墙规则。为了避免在初始安装过程中出现大多数问题，我们建议在主机上使用支持的分布式部署。但是，如果您选择自动部署主机，请在继续进行之前检查应用于它们的配置和策略。