2.11. 配置服务器端加密

流程

1. 编辑 haproxy.cfg 文件：

   示例

   frontend http_web
       bind *:80
       mode http
       default_backend rgw
   
   frontend rgw­-https
     bind *:443 ssl crt /etc/ssl/private/example.com.pem
     default_backend rgw
   
   backend rgw
       balance roundrobin
       mode http
       server  rgw1 10.0.0.71:8080 check
       server  rgw2 10.0.0.80:8080 check

   Copy to Clipboard Toggle word wrap

2. 注释掉允许访问 http 前端的行，并添加指令来指示 HAProxy 使用 https 前端：

   示例

   #     frontend http_web
   #     bind *:80
   #     mode http
   #     default_backend rgw
   
   frontend rgw­-https
     bind *:443 ssl crt /etc/ssl/private/example.com.pem
     http-request set-header X-Forwarded-Proto https if { ssl_fc }
     http-request set-header X-Forwarded-Proto https
   # here we set the incoming HTTPS port on the load balancer (eg : 443)
     http-request set-header X-Forwarded-Port 443
     default_backend rgw
   
   backend rgw
       balance roundrobin
       mode http
       server  rgw1 10.0.0.71:8080 check
       server  rgw2 10.0.0.80:8080 check

   Copy to Clipboard Toggle word wrap

3. 在集群的所有节点上，将以下参数添加到 Ceph 配置文件的 [global] 部分：

     rgw_trust_forwarded_https=true

   Copy to Clipboard Toggle word wrap

4. 启用并启动 HAProxy：

   [root@haproxy]# systemctl enable haproxy
   [root@haproxy]# systemctl start haproxy

   Copy to Clipboard Toggle word wrap

5. 要确保在 Ansible 运行时 rgw_trust_forwarded_https=true 不会从 Ceph 配置文件中删除，请编辑 ceph-ansible all.yml 文件，并在 ceph_ conf _overrides / global 部分中将 ceph-ansible all.yml 文件设置为 rgw_ trust_forwarded_https 。

   ceph_conf_overrides:
      global:
        rgw_trust_forwarded_https: true

   Copy to Clipboard Toggle word wrap
6. 完成更改后，运行 ceph-ansible playbook 以在所有 Ceph 节点上更新配置。