OpenStack 安全加固之道(下)

上期内容对安全攻击的不同种类和各自定义做出了明确阐述。本期内容将针对不同的OpenStack组件,探讨可以怎样加固其安全性。

OpenStack CLI

用户名和密码对于OpenStack CLI 工具的使用必不可少。很多OpenStack使用手册建议使用在OpenStack RC文件中定义的OS_USERNAME 和 OS_PASSWORD环境定量,但将身份证书信息保存为未加密的文件必然不是最好的安全实践。

更为安全的做法是使用OpenStack CLI工具为每个请求申请不同的户名和密码,或使用预定的 authentication token。位于DMZ中的指定节点或VM亦可成为OpenStack CLI 工具的专属节点,确保只有来自可靠网络的SSH接入被允许,不必要的服务和Bash历史记录可被禁止;网络日志被全部存放于远程、安全、高可用的存储池。

Nova

详细内容

OpenStack 安全加固之道(上)

本文来源:OpenStack Superuser Magazine

编译:Alice Liu

OpenStack项目本质复杂,常由许多独立的子项目组成。当下,OpenStack逐渐成熟、被愈发广泛采用,这让如何加强OpenStack在生产环境中的安全性随之成为备受关注的话题。

同时,OpenStack每半年发布一次的新功能也是安全隐患的一大来源。近期在glibc和OpenSSL发现的安全隐患显示,一个组件可以影响整个系统的安全性和可靠性。其实安全威胁是IT产业中所不能避免的 – 无论怎样的架构、技术,都会涉及到。鉴于此,如何化解安全隐患,确保云的安全可靠,是值得探讨的话题

针对OpenStack云,一些高效、高可用的工具和实践将可有效的防御安全攻击,确保其行业合规性。本文将分两部分,首先探讨OpenStack云最常见的安全威胁,再通过安全领域的最佳实践与建议,介绍应…

详细内容

【会议回顾+PPT下载】南京OpenStack开源云计算Meet-Up

南京OpenStack开源云计算Meetup活动于6月25日下午如期在润和软件园内举行,会议到场100人有余,中兴、EasyStack、中移苏研院、京东、华为的五位技术大拿为大家带来了精彩的主题演讲,针对大家的提问也做出了深入的解答。

技术内容上,有最新的Big Tent项目Watcher的介绍,有GPU虚拟化老问题的新探讨,有针对SDN从使用者和供应商两个角度的实践分享。五个主题,各个干货着实,现场讨论层出不穷:

Watcher:OpenStack资源优化项目

中兴 倪进权

演讲中,倪进权以云资源优化的一些困扰作为切入点,对Watcher使用案例、工作流程、整体架构及优化流程做出深入介绍。

倪进权

倪进权在演讲中

 

GPU虚拟化

EasyStack 陈帆

陈帆的演讲专注于GPU的技术构成、实践与现状,对其使用和功能做出…

详细内容

理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(三)

作者:Sammy Liu

第一部分 路由策略及路由表

第二部分 路由配置

第三部分

2. Neutron 的传统和 DVR Router

2.1 传统(Legacy) Router

微信截图_Neutron HApt3_1

2.2 DVR 对 L3 Agent 的影响

通过使用 DVR,三层的转发(L3 Forwarding)和 NAT 功能都会被分布到计算节点上,这意味着计算节点也有了网络节点的功能。但是,DVR 依然不能消除集中式的 Virtual Router,这是为了节省宝贵的 IPV4 公网地址,所有依然将 SNAT 放在网络节点上提供。这样,计算和网络节点就看起来如下:

微信截图_Neutron HApt3_2

网络节点:提供 南-北 SNAT,即在不使用浮动 IP 时,虚机访问外网的网络得经过网络节点。也就是说,网络节点依然必须走传统的 HA 解决方法,比如 VRRP 和 PeaceMaker。但可惜的是,Ju…

详细内容

理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(二)

本文作者:Sammy Liu

第一部分(路由策略及路由表):http://www.openstack.cn/?p=5553

1.1.3 路由分类之静态路由

静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。

微信截图_Neutron HA1

以上面的拓扑结构为例,在没有配置路由的情况下,计算机1 和 2 无法互相通信,因为 1 发给 2 的包在到达路由器 A 后,它不知道怎么转发它。B 也同样。管理员可以配置如下的静态路由来实现 1 和 2 之间的通信:

计算机…

详细内容

理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(一)

Neutron 作为 OpenStack 一个基础性关键服务,高可用性(HA)和扩展性是它的基本需求之一。对 neutron server 来说,因为它是无状态的,我们可以使用负载均衡器(Load Balancer)比如 HAProxy 来实现其 HA 和扩展性;对于 Neutron L3 Agent 来说,一个带外(Out-of-band)的 HA 实现方案可以使用 PeaceMaker,但是这会大大增加系统的复杂性,另一个就是之前介绍的 VRRP,但是它也存在不少问题:
(1)需要额外的硬件来组成 VRRP 组,这会带来成本增加
(2)它无法解决扩展性问题,东-西和南-北网络流量都需要经过活动的 VRRP Router。而 Juno 中引入的 DVR 功能正是用来解决这两点不足的。

1.基础知识

1.1 路由 (Routing)

1.1.1 路由策略 (使用 ip rule…

详细内容

OpenStack 高可用和灾备方案(下)

理解 OpenStack 高可用(1):OpenStack 高可用和灾备方案(上)这篇文章介绍了OpenStack高可用的基础知识,本文将详细介绍补分OpenStack提供者的详细HA方案。

3. 部分 OpenStack 方案提供者的 HA 方案

3.1 RDO HA

这里 有完整的 RDO HA 部署方案:

图片描述

该配置最少需要五台机器:

  1. 一台(物理或者虚拟)服务器部署 nfs server,dhcp,dns
  2. 一台物理服务器来作为计算节点
  3. 三台物理服务器组成 pacemaker 集群,创建多个虚机,安装各种应用

特征:

  • 每个集群使用三个节点,全部采用 A/A 模式,除了 cinder-volume 和 LBaas。RedHat 不认为 A/P 模式是真正的 HA。
  • 提供使用 Pacemaker 或者 Keepalived 两套方案。

详细内容

开源软件产品正确抉择方法

【概述】

 

当下国内几乎所有企业和政府机构都遍布开源软件产品的身影,尤其是基础软件产品涉及到开源操作系统、开源数据库、开源WEB服务器、开源中间件等。这一过程也踩踏过无数的相似坑。笔者也一样经历这样的过程,结合自身经验和技术圈朋友们的经历为大家指明如何正确选择一款开源软件产品。

一、企业自身需求决定一切

 

IT技术人员大多数都有创新和挑战的天性,而容易忘记技术的本质是服务于产品实现和产品运营。以选择开源操作系统为例,我们当年在阿里立项尝试去IOE,选的操作系统是Solaris,只看重其二个功能Snapshot数据备份和CPU100%能登陆上去,最终我们经历了很多磨难而应用成功,但无法在整个公司内部推广,原因如下:

1、Solaris社区人才匮乏,国内更难寻到Solaris人才;

2、社区资料有限,学习成本高,无法快速培养团队和技术专家;

3、Solari…

详细内容

OpenStack 高可用和灾备方案(上)

本文转自:CSDN

作者:Sammy Liu  (刘世民)

 

1. 基础知识

1.1 高可用 (High Availability,简称 HA)

高可用性是指提供在本地系统单个组件故障情况下,能继续访问应用的能力,无论这个故障是业务流程、物理设施、IT软/硬件的故障。最好的可用性, 就是你的一台机器宕机了,但是使用你的服务的用户完全感觉不到。你的机器宕机了,在该机器上运行的服务肯定得做故障切换(failover),切换有两个维度的成本:RTO (Recovery Time Objective)和 RPO(Recovery Point Objective)。RTO 是服务恢复的时间,最佳的情况是 0,这意味着服务立即恢复;最坏是无穷大意味着服务永远恢复不了;RPO 是切换时向前恢复的数据的时间长度,0 意味着使用同步的数据,大于 0 意味着有数据丢失,比如 ” RP…

详细内容

回应CFO——OpenStack云如何平衡TCO与创新?

84785499_thumbnailsmall

关于OpenStack功能及采用的讨论一直丰富多样。但是客户,特别是对于企业中的CFO来说,常更关注另一个实际问题:拥有OpenStack将需多少财务投入?

OpenStack是开源的,但其采用和部署必然会产生其他费用。所以 OpenStack 的总体拥有成本是多少?这个问题一直未被系统性地回答,直到当下。近期,红帽公司策略总监Massimo Ferrari 和Erich Morisse着手计算了基于OpenStack的私有云的全生命周期总体拥有成本,并在今年四月的奥斯汀OpenStack峰会上,题为“一个众人皆知却避而不谈的问题:OpenStack云的总体拥有成本究竟是多少?”的演讲中分享了他们的成果。

TCO是个备受注意、复杂、且很有必要深入探究的话题。企业在公有云vs.私有云的决策过程之初应该考虑到哪些基本标准?

在与客户的就此总体拥有成本模型的交谈中我们发现,公有云与…

详细内容