8.2. 클러스터에서 암호화된 FlexVolume2 파일 시스템 구성

절차

1. 클러스터의 두 노드 모두에서 시스템 아키텍처에 해당하는 탄력적 스토리지 리포지토리를 활성화합니다. 예를 들어 x86_64 시스템의 Resilient Storage 리포지토리를 활성화하려면 다음 subscription-manager 명령을 입력합니다.

   # subscription-manager repos --enable=rhel-9-for-x86_64-resilientstorage-rpms

   Copy to Clipboard Toggle word wrap

   Resilient Storage 리포지토리는 High Availability 리포지토리의 상위 세트입니다. 탄력적 스토리지 리포지토리를 활성화하는 경우 고가용성 리포지토리도 활성화할 필요가 없습니다.

2. 클러스터의 두 노드에서 lvm2-lockd,gfs2-utils, dlm 패키지를 설치합니다. 이러한 패키지를 지원하려면 AppStream 채널 및 탄력적 스토리지 채널에 가입해야합니다.

   # dnf install lvm2-lockd gfs2-utils dlm

   Copy to Clipboard Toggle word wrap

3. 클러스터의 두 노드 모두에서 /etc/lvmvm/lvm.conf 파일에서 use_lvm lockd 설정 옵션을 use_lvmlockd=1 로 설정합니다.

   ...
   use_lvmlockd = 1
   ...

   Copy to Clipboard Toggle word wrap

4. 글로벌 Pacemaker 매개변수 no-quorum-policy 를 freeze 로 설정합니다.

   참고

   기본적으로 no-quorum-policy 값은 stop 으로 설정되어 쿼럼이 손실되면 나머지 파티션의 모든 리소스가 즉시 중지됨을 나타냅니다. 일반적으로 이 기본값은 가장 안전하고 최적의 옵션이지만 대부분의 리소스와 달리 FlexVolume2에는 쿼럼이 있어야 작동합니다. 쿼럼이 모두 손실되면 kubeconfig2 마운트를 사용하는 애플리케이션 모두 유실되고 IRQ2 마운트 자체를 올바르게 중지할 수 없습니다. 쿼럼 없이 이러한 리소스를 중지하려고 하면 실패하므로 궁극적으로 쿼럼이 손실될 때마다 전체 클러스터가 펜싱됩니다.

   이 상황을 해결하려면 FlexVolume2를 사용 중인 경우 no-quorum-policy 를 중지하도록 설정합니다. 즉, 쿼럼이 손실되면 나머지 파티션은 쿼럼이 될 때까지 아무 작업도 수행하지 않습니다.

   [root@z1 ~]# pcs property set no-quorum-policy=freeze

   Copy to Clipboard Toggle word wrap

5. dlm 리소스를 설정합니다. 이는 클러스터에서 FlexVolume2 파일 시스템을 구성하는 데 필요한 종속 항목입니다. 이 예제에서는 locking 이라는 리소스 그룹의 일부로 dlm 리소스를 생성합니다.

   [root@z1 ~]# pcs resource create dlm --group locking ocf:pacemaker:controld op monitor interval=30s on-fail=fence

   Copy to Clipboard Toggle word wrap

6. 클러스터의 두 노드에서 리소스 그룹을 활성화할 수 있도록 locking 리소스 그룹을 복제합니다.

   [root@z1 ~]# pcs resource clone locking interleave=true

   Copy to Clipboard Toggle word wrap

7. 그룹 locking 의 일부로 lvmlockd 리소스를 설정합니다.

   [root@z1 ~]# pcs resource create lvmlockd --group locking ocf:heartbeat:lvmlockd op monitor interval=30s on-fail=fence

   Copy to Clipboard Toggle word wrap

8. 클러스터의 상태를 확인하여 클러스터의 두 노드에서 locking 리소스 그룹이 시작되었는지 확인합니다.

   [root@z1 ~]# pcs status --full
   Cluster name: my_cluster
   [...]
   
   Online: [ z1.example.com (1) z2.example.com (2) ]
   
   Full list of resources:
   
    smoke-apc      (stonith:fence_apc):    Started z1.example.com
    Clone Set: locking-clone [locking]
        Resource Group: locking:0
            dlm    (ocf::pacemaker:controld):      Started z1.example.com
            lvmlockd       (ocf::heartbeat:lvmlockd):      Started z1.example.com
        Resource Group: locking:1
            dlm    (ocf::pacemaker:controld):      Started z2.example.com
            lvmlockd       (ocf::heartbeat:lvmlockd):      Started z2.example.com
        Started: [ z1.example.com z2.example.com ]

   Copy to Clipboard Toggle word wrap

9. 클러스터의 한 노드에서 공유 볼륨 그룹을 생성합니다.

   참고

   LVM 볼륨 그룹에 원격 블록 스토리지(예: iSCSI 대상)에 있는 하나 이상의 물리 볼륨이 포함된 경우 Pacemaker가 시작되기 전에 서비스가 시작되도록 하는 것이 좋습니다. Pacemaker 클러스터에서 사용하는 원격 물리 볼륨의 시작 순서를 구성하는 방법에 대한 자세한 내용은 Pacemaker에서 관리하지 않는 리소스 종속 항목의 시작 순서 구성을 참조하십시오.

   다음 명령은 /dev/sda1 에 공유 볼륨 그룹 shared_vg1 을 생성합니다.

   [root@z1 ~]# vgcreate --shared shared_vg1 /dev/sda1
     Physical volume "/dev/sda1" successfully created.
     Volume group "shared_vg1" successfully created
     VG shared_vg1 starting dlm lockspace
     Starting locking.  Waiting until locks are ready...

   Copy to Clipboard Toggle word wrap

10. 클러스터의 두 번째 노드에서 다음을 수행합니다.

    1. lvm.conf 파일에서 use_devicesfile = 1 매개변수를 사용하여 장치 파일을 사용하는 경우 클러스터의 두 번째 노드의 장치 파일에 공유 장치를 추가합니다. 이 기능은 기본적으로 활성화되어 있습니다.

       [root@z2 ~]# lvmdevices --adddev /dev/sda1

       Copy to Clipboard Toggle word wrap

    2. 공유 볼륨 그룹의 잠금 관리자를 시작합니다.

       [root@z2 ~]# vgchange --lockstart shared_vg1
         VG shared_vg1 starting dlm lockspace
         Starting locking.  Waiting until locks are ready...

       Copy to Clipboard Toggle word wrap

11. 클러스터의 한 노드에서 공유 논리 볼륨을 생성합니다.

    [root@z1 ~]# lvcreate --activate sy -L5G -n shared_lv1 shared_vg1
      Logical volume "shared_lv1" created.

    Copy to Clipboard Toggle word wrap

12. 논리 볼륨에 LVM-활성화 리소스를 생성하여 모든 노드에서 논리 볼륨을 자동으로 활성화합니다.

    다음 명령은 볼륨 그룹 shared_vg1 에서 논리 볼륨 shared_lv1 에 대해 sharedlv1 이라는 LVM-활성화 리소스를 생성합니다. 이 명령은 리소스를 포함하는 resource group shared_vg1 도 생성합니다. 이 예에서 리소스 그룹은 논리 볼륨을 포함하는 공유 볼륨 그룹과 이름이 동일합니다.

    [root@z1 ~]# pcs resource create sharedlv1 --group shared_vg1 ocf:heartbeat:LVM-activate lvname=shared_lv1 vgname=shared_vg1 activation_mode=shared vg_access_mode=lvmlockd

    Copy to Clipboard Toggle word wrap

13. 새 리소스 그룹을 복제합니다.

    [root@z1 ~]# pcs resource clone shared_vg1 interleave=true

    Copy to Clipboard Toggle word wrap

14. dlm 및 lvmlockd 리소스가 포함된 locking 리소스 그룹이 먼저 시작되도록 순서 제한 조건을 구성합니다.

    [root@z1 ~]# pcs constraint order start locking-clone then shared_vg1-clone
    Adding locking-clone shared_vg1-clone (kind: Mandatory) (Options: first-action=start then-action=start)

    Copy to Clipboard Toggle word wrap

15. 1 및ECDHE 2 리소스 그룹이 locking 리소스 그룹과 동일한 노드에서 시작되도록 공동 배치 제약 조건을 구성합니다.

    [root@z1 ~]# pcs constraint colocation add shared_vg1-clone with locking-clone

    Copy to Clipboard Toggle word wrap

절차

1. 클러스터의 한 노드에서 crypt 키를 포함할 새 파일을 만들고 root에서만 읽을 수 있도록 파일에 대한 권한을 설정합니다.

   [root@z1 ~]# touch /etc/crypt_keyfile
   [root@z1 ~]# chmod 600 /etc/crypt_keyfile

   Copy to Clipboard Toggle word wrap

2. crypt 키를 만듭니다.

   [root@z1 ~]# dd if=/dev/urandom bs=4K count=1 of=/etc/crypt_keyfile
   1+0 records in
   1+0 records out
   4096 bytes (4.1 kB, 4.0 KiB) copied, 0.000306202 s, 13.4 MB/s
   [root@z1 ~]# scp /etc/crypt_keyfile root@z2.example.com:/etc/

   Copy to Clipboard Toggle word wrap

3. 설정한 권한을 유지하기 위해 -p 매개변수를 사용하여 클러스터의 다른 노드에 crypt 키 파일을 배포합니다.

   [root@z1 ~]# scp -p /etc/crypt_keyfile root@z2.example.com:/etc/

   Copy to Clipboard Toggle word wrap

4. 암호화된 IRQ2 파일 시스템을 구성할 LVM 볼륨에 암호화된 장치를 생성합니다.

   [root@z1 ~]# cryptsetup luksFormat /dev/shared_vg1/shared_lv1 --type luks2 --key-file=/etc/crypt_keyfile
   WARNING!
   ========
   This will overwrite data on /dev/shared_vg1/shared_lv1 irrevocably.
   
   Are you sure? (Type 'yes' in capital letters): YES

   Copy to Clipboard Toggle word wrap

5. shared_vg1 볼륨 그룹의 일부로 crypt 리소스를 생성합니다.

   [root@z1 ~]# pcs resource create crypt --group shared_vg1 ocf:heartbeat:crypt crypt_dev="luks_lv1" crypt_type=luks2 key_file=/etc/crypt_keyfile encrypted_dev="/dev/shared_vg1/shared_lv1"

   Copy to Clipboard Toggle word wrap

절차

1. 클러스터의 한 노드에서 IRQ2 파일 시스템으로 볼륨을 포맷합니다. 파일 시스템을 마운트하는 각 노드에 저널 1개가 필요합니다. 클러스터의 각 노드에 대해 충분한 저널을 생성해야 합니다. 잠금 테이블 이름의 형식은 ClusterName:FSName 입니다. 여기서 ClusterName 은 FlexVolume2 파일 시스템이 생성되고 FSName 은 클러스터의 모든 lock_dlm 파일 시스템에 고유해야 하는 파일 시스템 이름입니다.

   [root@z1 ~]# mkfs.gfs2 -j3 -p lock_dlm -t my_cluster:gfs2-demo1 /dev/mapper/luks_lv1
   /dev/mapper/luks_lv1 is a symbolic link to /dev/dm-3
   This will destroy any data on /dev/dm-3
   Are you sure you want to proceed? [y/n] y
   Discarding device contents (may take a while on large devices): Done
   Adding journals: Done
   Building resource groups: Done
   Creating quota file: Done
   Writing superblock and syncing: Done
   Device:                    /dev/mapper/luks_lv1
   Block size:                4096
   Device size:               4.98 GB (1306624 blocks)
   Filesystem size:           4.98 GB (1306622 blocks)
   Journals:                  3
   Journal size:              16MB
   Resource groups:           23
   Locking protocol:          "lock_dlm"
   Lock table:                "my_cluster:gfs2-demo1"
   UUID:                      de263f7b-0f12-4d02-bbb2-56642fade293

   Copy to Clipboard Toggle word wrap

2. 모든 노드에 FlexVolume2 파일 시스템을 자동으로 마운트하는 파일 시스템 리소스를 생성합니다.

   Pacemaker 클러스터 리소스로 관리되므로 파일 시스템을 /etc/fstab 파일에 추가하지 마십시오. options = 옵션을 사용하여 리소스 구성의 일부로 마운트 옵션을 지정할 수있습니다. 전체 구성 옵션에 대해 pcs resource describe Filesystem 명령을 실행합니다.

   다음 명령은 파일 시스템 리소스를 생성합니다. 이 명령은 해당 파일 시스템의 논리 볼륨 리소스를 포함하는 리소스 그룹에 리소스를 추가합니다.

   [root@z1 ~]# pcs resource create sharedfs1 --group shared_vg1 ocf:heartbeat:Filesystem device="/dev/mapper/luks_lv1" directory="/mnt/gfs1" fstype="gfs2" options=noatime op monitor interval=10s on-fail=fence

   Copy to Clipboard Toggle word wrap

검증

1. IRQ2 파일 시스템이 클러스터의 두 노드에 마운트되어 있는지 확인합니다.

   [root@z1 ~]# mount | grep gfs2
   /dev/mapper/luks_lv1 on /mnt/gfs1 type gfs2 (rw,noatime,seclabel)
   
   [root@z2 ~]# mount | grep gfs2
   /dev/mapper/luks_lv1 on /mnt/gfs1 type gfs2 (rw,noatime,seclabel)

   Copy to Clipboard Toggle word wrap

2. 클러스터 상태를 확인합니다.

   [root@z1 ~]# pcs status --full
   Cluster name: my_cluster
   [...]
   
   Full list of resources:
   
     smoke-apc      (stonith:fence_apc):    Started z1.example.com
     Clone Set: locking-clone [locking]
         Resource Group: locking:0
             dlm    (ocf::pacemaker:controld):      Started z2.example.com
             lvmlockd       (ocf::heartbeat:lvmlockd):      Started z2.example.com
         Resource Group: locking:1
             dlm    (ocf::pacemaker:controld):      Started z1.example.com
             lvmlockd       (ocf::heartbeat:lvmlockd):      Started z1.example.com
        Started: [ z1.example.com z2.example.com ]
     Clone Set: shared_vg1-clone [shared_vg1]
        Resource Group: shared_vg1:0
                sharedlv1      (ocf::heartbeat:LVM-activate):  Started z2.example.com
                crypt       (ocf::heartbeat:crypt) Started z2.example.com
                sharedfs1      (ocf::heartbeat:Filesystem):    Started z2.example.com
       Resource Group: shared_vg1:1
                sharedlv1      (ocf::heartbeat:LVM-activate):  Started z1.example.com
                crypt      (ocf::heartbeat:crypt)  Started z1.example.com
                sharedfs1      (ocf::heartbeat:Filesystem):    Started z1.example.com
             Started:  [z1.example.com z2.example.com ]
   ...

   Copy to Clipboard Toggle word wrap