20.3. 既存の信頼済みストレージプールのネットワーク暗号化の設定

このセクションでは、既存の Red Hat Gluster Storage の信頼済みストレージプールの I/O および管理暗号化を設定します。

20.3.1. I/O 暗号化の有効化

このセクションでは、サーバーとクライアント間の I/O 暗号化を有効にします。

手順20.6 I/O 暗号化の有効化

  1. すべてのクライアントからボリュームをアンマウントする

    すべてのクライアントで以下のコマンドを実行して、ボリュームをアンマウントします。
    # umount mountpoint
  2. ボリュームの停止

    任意のサーバーから以下のコマンドを実行して、ボリュームを停止します。
    # gluster volume stop VOLNAME
  3. 許可するサーバーおよびクライアントを指定します

    ボリュームにアクセスできるサーバーおよびクライアントの共通名の一覧を提供します。提供される共通名は、そのサーバーまたはクライアントの glusterfs.pem ファイルの作成時に指定される共通名と同じである必要があります。
    # gluster volume set volname auth.ssl-allow 'server1,server2,client1,client2,client3'
    これにより、キーをそのまま残す場合に追加のチェックが提供されますが、「クライアントの認証解除」 に示されているように、このリストからクライアントやサーバーを一時的に制限します。
    また、デフォルト値の * も使用できます。これは、TLS 認証されたすべてのマシンがボリュームをマウントおよびアクセスできることを示します。
  4. ボリュームでの TLS/SSL 暗号化の有効化

    任意のサーバーから以下のコマンドを実行し、TLS/SSL 暗号化を有効にします。
    # gluster volume set volname client.ssl on
    # gluster volume set volname server.ssl on
  5. ボリュームの起動

    # gluster volume start volname
  6. 検証

    ボリュームが、承認されたクライアントにのみマウントできることを確認します。ボリュームをマウントするプロセスは、クライアントが使用しているプロトコルによって異なります。
    次のコマンドは、ネイティブ FUSE プロトコルを使用してボリュームをマウントします。このコマンドは、認証済みのクライアントで機能し、承認されていないクライアントでは機能しません。
    # mount -t glusterfs server1:/testvolume /mnt/glusterfs