20.3. 既存の信頼済みストレージプールのネットワーク暗号化の設定

手順20.6 I/O 暗号化の有効化

1. すべてのクライアントからボリュームをアンマウントする

   すべてのクライアントで以下のコマンドを実行して、ボリュームをアンマウントします。

   # umount mountpoint

   Copy to Clipboard Toggle word wrap

2. ボリュームの停止

   任意のサーバーから以下のコマンドを実行して、ボリュームを停止します。

   # gluster volume stop VOLNAME

   Copy to Clipboard Toggle word wrap

3. 許可するサーバーおよびクライアントを指定します

   ボリュームにアクセスできるサーバーおよびクライアントの共通名の一覧を提供します。提供される共通名は、そのサーバーまたはクライアントの glusterfs.pem ファイルの作成時に指定される共通名と同じである必要があります。

   # gluster volume set volname auth.ssl-allow 'server1,server2,client1,client2,client3'

   Copy to Clipboard Toggle word wrap
   これにより、キーをそのまま残す場合に追加のチェックが提供されますが、「クライアントの認証解除」 に示されているように、このリストからクライアントやサーバーを一時的に制限します。
   また、デフォルト値の * も使用できます。これは、TLS 認証されたすべてのマシンがボリュームをマウントおよびアクセスできることを示します。

4. ボリュームでの TLS/SSL 暗号化の有効化

   任意のサーバーから以下のコマンドを実行し、TLS/SSL 暗号化を有効にします。

   # gluster volume set volname client.ssl on
   # gluster volume set volname server.ssl on

   Copy to Clipboard Toggle word wrap

5. ボリュームの起動

   # gluster volume start volname

   Copy to Clipboard Toggle word wrap

6. 検証

   ボリュームが、承認されたクライアントにのみマウントできることを確認します。ボリュームをマウントするプロセスは、クライアントが使用しているプロトコルによって異なります。
   次のコマンドは、ネイティブ FUSE プロトコルを使用してボリュームをマウントします。このコマンドは、認証済みのクライアントで機能し、承認されていないクライアントでは機能しません。

   # mount -t glusterfs server1:/testvolume /mnt/glusterfs

   Copy to Clipboard Toggle word wrap