6.4. 서버 측 암호화 구성
스토리지 관리자는 HTTP를 사용하여 암호화된 요청을 SSL을 통해 보낼 수 없는 경우 HTTP를 사용하여 Ceph Object Gateway에 요청을 보내도록 서버 측 암호화를 설정할 수 있습니다.
이 절차에서는 HAProxy를 프록시 및 로드 밸런서로 사용합니다.
사전 요구 사항
- 스토리지 클러스터의 모든 노드에 대한 루트 수준 액세스.
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway 소프트웨어 설치.
- HAProxy 소프트웨어 설치.
절차
haproxy.cfg파일을 편집합니다.예제
frontend http_web *:80 mode http default_backend rgw frontend rgw-https bind *:443 ssl crt /etc/ssl/private/example.com.pem default_backend rgw backend rgw balance roundrobin mode http server rgw1 10.0.0.71:8080 check server rgw2 10.0.0.80:8080 checkhttp프런트엔드에 대한 액세스를 허용하는 행을 주석 처리하고 대신https프런트엔드를 사용하도록 HAProxy에 지시하는 지침을 추가합니다.예제
# frontend http_web *:80 # mode http # default_backend rgw frontend rgw-https bind *:443 ssl crt /etc/ssl/private/example.com.pem http-request set-header X-Forwarded-Proto https if { ssl_fc } http-request set-header X-Forwarded-Proto https # here we set the incoming HTTPS port on the load balancer (eg : 443) http-request set-header X-Forwarded-Port 443 default_backend rgw backend rgw balance roundrobin mode http server rgw1 10.0.0.71:8080 check server rgw2 10.0.0.80:8080 checkrgw_trust_forwarded_https옵션을true로 설정합니다.예제
[root@mon ~]# ceph config set client.rgw rgw_trust_forwarded_https true
HAProxy를 활성화하고 시작합니다.
[root@haproxy]# systemctl enable haproxy [root@haproxy]# systemctl start haproxy
