20.5. ボリュームの拡張

このセクションでは、ネットワークの暗号化を使用する信頼できるストレージプールに新規ノードを追加します。

20.5.1. 一般的な認証局が署名した証明書

本セクションでは、一般的な認証局が署名したネットワーク暗号化を使用する信頼できるストレージプールに新しい Gluster サーバーを追加します。

前提条件

手順20.8 一般的な認証局署名証明書を使用するプールの拡張

  1. 一般的な認証局一覧をインポートします。

    既存のサーバーから 新しいサーバーの /etc/ssl/glusterfs.ca ファイルを /etc/ssl ディレクトリーにコピーします。
  2. 管理暗号化の場合は、secure-access ファイルを作成および編集します。

    新しい /var/lib/glusterd/secure-access ファイルを作成します。デフォルト設定を使用している場合は、このファイルは空にすることができます。
    # touch /var/lib/glusterd/secure-access
    認証局が正しく機能するには、SSL 証明書の深さ設定 transport.socket.ssl-cert-depth への変更が必要になる場合があります。この設定を編集するには、以下の行を secure-access ファイルに追加します。n は 認証局で 必要な証明書深度に置き換えます。
    echo "option transport.socket.ssl-cert-depth n" > /var/lib/glusterd/secure-access
  3. 新しいサーバーで glusterd を開始

    # systemctl start glusterd
  4. 許可するサーバーおよびクライアントを指定します

    ボリュームにアクセスできるサーバーおよびクライアントの共通名の一覧を提供します。提供される共通名は、そのサーバーまたはクライアントの glusterfs.pem ファイルの作成時に指定される共通名と同じである必要があります。
    # gluster volume set volname auth.ssl-allow 'server1,server2,client1,client2,client3'
    これにより、キーをそのまま残す場合に追加のチェックが提供されますが、「クライアントの認証解除」 に示されているように、このリストからクライアントやサーバーを一時的に制限します。
    注記
    Gluster ボリュームセット コマンドは、オプションの既存の値に追加されません。一覧に新しい名前を追加するには、gluster volume info コマンドを使用して既存の一覧を取得し、新しい名前を一覧に追加し、gluster volume set コマンドを使用してオプションを再度設定します。
    また、デフォルト値の * も使用できます。これは、TLS 認証されたすべてのマシンがボリュームをマウントおよびアクセスできることを示します。
  5. 新規サーバーへのボリュームの拡張

    新しく信頼できるサーバーを使用して、既存のボリュームを拡張するには、「ボリュームの拡張」 の手順に従います。