付録A デプロイメント中の暗号化設定
A.1. 認証局で署名された証明書を使用したデプロイメント中の TLS/SSL 設定
A.1.1. 作業を開始する前の注意事項
開始する前に認証局による署名済みの適切な証明書があることを確認してください。証明書の取得方法については、本ガイドの対象範囲外です。
A.1.2. CA 署名済み証明書を使用した TLS/SSL の暗号化設定
以下のファイルが全ノードの所定の場所に存在することを確認します。
- /etc/ssl/glusterfs.key
- ノードの秘密鍵
- /etc/ssl/glusterfs.pem
- 認証局によって署名された証明書。これがノードの証明書となります。
- /etc/ssl/glusterfs.ca
- 認証局の証明書。自己署名の設定の場合は、このファイルに全ノードの連結された証明書が含まれます。
管理の暗号化を有効にします。
各ノードで /var/lib/glusterd/secure-access ファイルを作成します。
# touch /var/lib/glusterd/secure-access
暗号化を設定します。
「7章Cockpit UI を使用したセルフホストエンジン向けの Red Hat Gluster Storage の設定」で生成された設定ファイルにリストされている各ボリュームに以下の行を追加します。これにより、 デプロイメントプロセス中に CA 署名済み証明書を使用して Gluster ボリューム間の TLS/SSL ベースの暗号化が作成および設定されます。
key=client.ssl,server.ssl,auth.ssl-allow value=on,on,"host1;host2;host3"
生成されたファイルは、編集後に必ず保存してください。
A.2. 自己署名証明書を使用したデプロイメント中の TLS/SSL 暗号化設定
「7章Cockpit UI を使用したセルフホストエンジン向けの Red Hat Gluster Storage の設定」で生成された設定ファイルに以下の行を追加し、デプロイメントプロセスで自己署名済み証明書を使用して Gluster ボリューム間の TLS/SSL ベースの暗号化を作成および設定します。gdeploy によって生成される証明書は 1 年間有効dす。
最初のボリュームの設定で、enable_ssl および ssl_clients パラメーターそれらの値を指定する行を追加します。
[volume1] enable_ssl=yes ssl_clients=<Gluster_Network_IP1>,<Gluster_Network_IP2>,<Gluster_Network_IP3>
その後のボリュームでは、以下の行を追加して client.ssl、server.ssl、auth.ssl-allow パラメーターの値を定義します。
[volumeX] key=client.ssl,server.ssl,auth.ssl-allow value=on,on,"<Gluster_Network_IP1>;<Gluster_Network_IP2>;<Gluster_Network_IP3>"
