附录 A. 在部署期间配置加密功能


A.1. 在部署期间使用证书颁发机构签署的证书来配置 TLS/SSL

A.1.1. 开始之前

请先确保您已拥有证书颁发机构签署的适当证书,然后再继续操作。证书的获取不在本文的阐述范围内。

A.1.2. 使用证书颁发机构签署的证书配置 TLS/SSL 加密功能

  1. 确保所有节点都存在以下文件。

    /etc/ssl/glusterfs.key
    节点的私钥。
    /etc/ssl/glusterfs.pem
    证书颁发机构签署的证书,它会成为相应节点的证书。
    /etc/ssl/glusterfs.ca
    证书颁发机构的证书。对于自签名配置,该文件则包含所有节点的串联证书。
  2. 启用管理加密功能。

    在各个节点创建 /var/lib/glusterd/secure-access 文件。

    # touch /var/lib/glusterd/secure-access
  3. 配置加密功能。

    将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage的过程中生成的配置文件所列出的各个卷中。这样即可在部署过程中,使用证书颁发机构签署的证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。

    key=client.ssl,server.ssl,auth.ssl-allow
    value=on,on,"host1;host2;host3"

    请先确保您已保存所生成的文件,然后再进行编辑。

A.2. 在部署期间使用自签名证书配置 TLS/SSL 加密功能

将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage 时所生成的配置文件中,以在部署过程中使用自签名证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。gdeploy 所生成证书的有效期为一年。

在配置第一个卷时,请为 enable_sslssl_clients 参数及其值添加相应的行:

[volume1]
enable_ssl=yes
ssl_clients=<Gluster_Network_IP1>,<Gluster_Network_IP2>,<Gluster_Network_IP3>

在配置后续卷时,请添加以下各行以定义 client.sslserver.sslauth.ssl-allow 参数的值:

[volumeX]
key=client.ssl,server.ssl,auth.ssl-allow
value=on,on,"<Gluster_Network_IP1>;<Gluster_Network_IP2>;<Gluster_Network_IP3>"
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.