8.7.2. 配置 JGroups 来加密集群流量
若要加密 OpenShift 上 JBoss EAP 的集群流量,您必须在 JBoss EAP 配置中配置 JGroups 协议堆栈,以使用 SYM_ENCRYPT
或 ASYM_ENCRYPT
协议。
虽然您可以使用自定义 standalone-openshift.xml
配置文件,但 建议您使用环境变量 在镜像构建中配置 JGroups。
以下说明使用环境变量来配置用于 OpenShift 镜像的 JBoss EAP 集群流量加密的协议。
SYM_ENCRYPT
和 ASYM_ENCRYPT
协议彼此不兼容。无法从两个独立的子集群组成一个超级集群,一个使用 SYM_ENCRYPT
协议加密集群流量,另一个使用 ASYM_ENCRYPT
协议加密。同样,在执行滚动升级时,该协议对于源和目标集群需要相同。
8.7.2.1. Configuring SYM_ENCRYPT
使用 SYM_ENCRYPT
协议加密 JGroups 集群流量:
JGroups 协议堆栈必须配置为使用
SYM_ENCRYPT
作为加密协议。您可以通过将
JGROUPS_ENCRYPT_PROTOCOL
环境变量设置为SYM_ENCRYPT 来做到这一点
:JGROUPS_ENCRYPT_PROTOCOL=SYM_ENCRYPT
JGROUPS_ENCRYPT_SECRET
环境变量必须设置为包含用于保护 JGroups 通信的 JGroups 密钥存储文件的机密的名称。如果没有设置,则不会加密群集通信并发出警告。例如:JGROUPS_ENCRYPT_SECRET=eap7-app-secret
JGROUPS_ENCRYPT_KEYSTORE_DIR
环境变量必须设置为通过JGROUPS_ENCRYPT_SECRET
变量指定的机密中密钥存储文件的目录路径。如果没有设置,则不会加密群集通信并发出警告。例如:JGROUPS_ENCRYPT_KEYSTORE_DIR=/etc/jgroups-encrypt-secret-volume
JGROUPS_ENCRYPT_KEYSTORE
环境变量必须设置为通过JGROUPS_ENCRYPT_SECRET
变量指定的机密中的密钥存储文件的名称。如果没有设置,则不会加密群集通信并发出警告。例如:JGROUPS_ENCRYPT_KEYSTORE=jgroups.jceks
JGROUPS_ENCRYPT_NAME
环境变量必须设置为与服务器证书关联的名称。如果没有设置,则不会加密群集通信并发出警告。例如:JGROUPS_ENCRYPT_NAME=jgroups
JGROUPS_ENCRYPT_PASSWORD
环境变量必须设置为用于访问密钥存储和证书的密码。如果没有设置,则不会加密群集通信并发出警告。例如:JGROUPS_ENCRYPT_PASSWORD=mypassword