OVSは、認証サービスを提供するために、SSLを使用してデータベースにクライアントを接続し、RBAC(役割ベースのアクセス制御、RBAC)データベースOVS操作に接続しているクライアントにサービスを提供するための許可。RBACは、管理者がSSLによって提供されている、さらにセキュリティを強化するために行うことができるクライアントのデータベース操作を制限することができます。
理論的には、任意のOVSデータベースには、RBACの役割と権限を定義することができますが、現在唯一のOVN南は、RBACデータベースをサポートするための適切なテーブルを持っています。
メカニズム
RBACは、SSLを補完することを意図しています。RBACを有効にするには、SSLを使用しなければならないデータベースに接続します。一定の権利をRBACは、証明書の共通名(CN)接続されたクライアントに基づいています。
RBACは、2つのデータベースのテーブル、すなわちRBAC_RoleとRBAC_Permissionによって制御されます。BAC_Permissionテーブルのレコードは、データベーステーブルにアクセス制御情報のセットを記述する。
RBAC_Permissionテーブルには、次のものが含まれています。
表には、
データベーステーブルの名前で、その権限を記述している。
insert_delete
レコードの挿入や削除を許可するかどうかについて説明します。
更新
更新を許可する列のリストを。
承認
列名リスト。前記CNフィールドは、テーブルに操作を試みるために成功することができ、SSL証明書と一致する必要があります。キーと値のペアは、キー列名がある場合は、値が列キーの名前です。空の文字列は、すべてのクライアントが操作を実行できるようにすることを意味します。
RBAC_Roleテーブルには、次のものが含まれています。
名前
役割を名に定義されている
権限の
キーと値のペアのリストを。キーは、データベーステーブルの名前で、テーブル値は、RBAC_PermissionはUUIDを記録しているテーブルへの権限の役割について説明します。
注意:
すべてのレコードは、明示的に参照されるテーブルは読み取り専用ではないRBAC_Role
RBACを有効にするには、データベースとしての役割名を設定しset-connectionたパラメータコマンド。たとえば、データベースの「ovnコントローラ」の役割を有効にするために、南OVNで次のコマンドを使用します。
RBACを有効にするためには、引数としてロール名を指定して
、データベースのセット-connectionコマンド。一例として、有効にする
OVNのサウスバウンドデータベースの「ovnコントローラ」の役割を、次の使用
のコマンドを:
$ ovn-sbctl set-connection role=ovn-controller ssl:192.168.0.1:6642
事前定義された役割
このセクションでは、定義内OVS / OVNの役割について説明します。
オーブンコントローラ
ovn-controllerデータベースの役割は南OVNに割り当てられ、ovnコントローラ管理プログラム(ハイパーバイザー)を実行しているデーモンによって使用されています。ovn-controllerOVNは南の主な情報を読み取るため、データベースに接続するには、いくつかのケースでは、ovn-controllerまた、記述する必要があります。ovn-controller役割ができるように設計されたovn-controllers唯一の南にあるデータベースの合理的な位置に書き込まれます。侵入者が実行して引き継ぐためにあればこのように、ovn-controller管理デーモン、難しい全体のオーバーレイネットワークを破壊します。
強く南OVNのためにデータベースを設定することを推奨しovn-controller、セキュリティを強化するために、役割。