附录 A. 在部署期间配置加密功能
A.1. 在部署期间使用证书颁发机构签署的证书来配置 TLS/SSL
A.1.1. 开始之前
请先确保您已拥有证书颁发机构签署的适当证书,然后再继续操作。证书的获取不在本文的阐述范围内。
A.1.2. 使用证书颁发机构签署的证书配置 TLS/SSL 加密功能
确保所有节点都存在以下文件。
- /etc/ssl/glusterfs.key
- 节点的私钥。
- /etc/ssl/glusterfs.pem
- 证书颁发机构签署的证书,它会成为相应节点的证书。
- /etc/ssl/glusterfs.ca
- 证书颁发机构的证书。对于自签名配置,该文件则包含所有节点的串联证书。
启用管理加密功能。
在各个节点创建 /var/lib/glusterd/secure-access 文件。
# touch /var/lib/glusterd/secure-access
配置加密功能。
将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage的过程中生成的配置文件所列出的各个卷中。这样即可在部署过程中,使用证书颁发机构签署的证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。
key=client.ssl,server.ssl,auth.ssl-allow value=on,on,"host1;host2;host3"
请先确保您已保存所生成的文件,然后再进行编辑。
A.2. 在部署期间使用自签名证书配置 TLS/SSL 加密功能
将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage 时所生成的配置文件中,以在部署过程中使用自签名证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。gdeploy 所生成证书的有效期为一年。
在配置第一个卷时,请为 enable_ssl 和 ssl_clients 参数及其值添加相应的行:
[volume1] enable_ssl=yes ssl_clients=<Gluster_Network_IP1>,<Gluster_Network_IP2>,<Gluster_Network_IP3>
在配置后续卷时,请添加以下各行以定义 client.ssl、server.ssl 和 auth.ssl-allow 参数的值:
[volumeX] key=client.ssl,server.ssl,auth.ssl-allow value=on,on,"<Gluster_Network_IP1>;<Gluster_Network_IP2>;<Gluster_Network_IP3>"