20.5.2. 自己署名証明書
前提条件
- このプロセスでは、自己署名証明書が自動的に生成されず更新されないため、信頼済みストレージプールはオフラインでなければなりません。このプロセスを開始する前に、ボリューム、アプリケーション、クライアント、およびその他のエンドユーザーに停止した期間をスケジュールします。
手順20.9 自己署名証明書を使用するプールの拡張
新しいサーバー用の鍵と自己署名証明書の生成
「証明書の準備」 の手順に従い、秘密鍵と新しいサーバーの自己署名証明書を生成します。サーバー認証局リストファイルの更新
新規サーバーの/etc/ssl/glusterfs.pemファイルの内容を、信頼済みストレージプール内のすべての既存サーバーの/etc/ssl/glusterfs.caファイルに追加します。クライアント認証局リストファイルの更新
信頼されたストレージプール内の、承認済みのクライアントで、新しいサーバーの/etc/ssl/glusterfs.pemファイルの内容を/etc/ssl/glusterfs.caファイルに追加します。すべての gluster プロセスを停止する
すべてのサーバーで次のコマンドを実行します。# systemctl stop glusterd # pkill glusterfs
(オプション) 新しいサーバーでの管理暗号化の有効化
/var/lib/glusterd/secure-accessファイルを既存のサーバーから新しいサーバーにコピーします。新しいサーバーで glusterd を開始
# systemctl start glusterd
許可するようにサーバーおよびクライアントを更新します。
任意のサーバーから以下のコマンドを実行し、ボリュームにアクセスできるサーバーおよびクライアントの共通名を指定します。提供される共通名は、そのサーバーまたはクライアントのglusterfs.pemファイルの作成時に指定される共通名と同じである必要があります。# gluster volume set volname auth.ssl-allow 'server1,server2,client1,client2,client3'
注記gluster volume set コマンドは、オプションの既存の値に追加されません。一覧に新しい名前を追加するには、gluster volume info コマンドを使用して既存の一覧を取得し、新しい名前を一覧に追加し、gluster volume set コマンドを使用してオプションを再度設定します。また、デフォルト値の*も使用できます。これは、TLS 認証されたすべてのマシンがボリュームをマウントおよびアクセスできることを示します。既存のサーバーおよびクライアントで glusterfs プロセスを再起動する
すべてのクライアントで、すべてのボリュームをアンマウントします。
# umount mountpoint
いずれかのサーバーで、すべてのボリュームを停止する
# for vol in `gluster volume list`; do gluster --mode=script volume stop $vol; sleep 2s; done
すべてのサーバーで、glusterd を再起動します。
Red Hat Enterprise Linux 7 ベースのインストールの場合:# systemctl start glusterd
Red Hat Enterprise Linux 6 ベースのインストールの場合:# service glusterd start
重要Red Hat Gluster Storage は 3.5 Batch Update 1 以降では、Red Hat Enterprise Linux 6 (RHEL 6) でサポートされません。インストールガイドの『バージョンの詳細』表および『Red Hat Gluster Storage ソフトウェアコンポーネントおよびバージョン』 を参照してください。任意のサーバーで、すべてのボリュームを起動します。
# gluster volume start volname
すべてのクライアントにボリュームをマウントします。
ボリュームをマウントするプロセスは、クライアントが使用しているプロトコルによって異なります。次のコマンドは、ネイティブ FUSE プロトコルを使用してボリュームをマウントします。# mount -t glusterfs server1:/test-volume /mnt/glusterfs
新規サーバーへのボリュームの拡張
新しく信頼できるサーバーを使用して、既存のボリュームを拡張するには、「ボリュームの拡張」 の手順に従います。
