4.4. Beast의 SSL 구성

OpenSSL 라이브러리를 사용하여 TLS(Transport Layer Security)를 제공하도록 Beast 프런트 엔드 웹 서버를 구성할 수 있습니다. Beast와 함께 SSL(Secure Socket Layer)을 사용하려면 Ceph Object Gateway 노드의 호스트 이름과 일치하는 CA(인증 기관)에서 인증서를 가져와야 합니다. 또한 Beast에는 단일. pem 파일에 있는 비밀 키, 서버 인증서 및 기타 CA가 필요합니다.

중요

비밀 키 해시가 포함되어 있기 때문에 .pem 파일에 대한 무단 액세스를 방지합니다.

중요

Red Hat은 SAN(Subject Alternative Name) 필드가 있는 CA와 S3 스타일 하위 도메인과 함께 사용할 와일드카드를 가져오는 것이 좋습니다.

중요

Red Hat은 소규모에서 중간 규모의 테스트 환경에 대해 Beast 프런트 엔드 웹 서버에서만 SSL을 사용할 것을 권장합니다. 프로덕션 환경의 경우 HAProxy를 사용하고 keepalived 를 사용하여 HAProxy에서 SSL 연결을 종료해야 합니다.

사전 요구 사항

  • 실행 중이고 정상적인 Red Hat Ceph Storage 클러스터.
  • Ceph Object Gateway 소프트웨어 패키지 설치.
  • OpenSSL 소프트웨어 패키지 설치.
  • Ceph Object Gateway 노드에 대한 루트 수준 액세스.

절차

  1. 현재 디렉터리에 rgw.yml 이라는 새 파일을 만듭니다.

    예제

    [root@rgw ~]# touch rgw.yml

  2. 편집할 rgw.yml 파일을 열고 환경에 맞게 사용자 지정합니다.

    구문

    service_type: rgw
    service_id: SERVICE_ID
    service_name: SERVICE_NAME
    placement:
      hosts:
      - HOST_NAME
    spec:
      ssl: true
      rgw_frontend_ssl_certificate: CERT_HASH

    예제

    service_type: rgw
    service_id: foo
    service_name: rgw.foo
    placement:
      hosts:
      - host1
    spec:
      ssl: true
      rgw_frontend_ssl_certificate: |
        -----BEGIN RSA PRIVATE KEY-----
        MIIEpAIBAAKCAQEA+Cf4l9OagD6x67HhdCy4Asqw89Zz9ZuGbH50/7ltIMQpJJU0
        gu9ObNtIoC0zabJ7n1jujueYgIpOqGnhRSvsGJiEkgN81NLQ9rqAVaGpadjrNLcM
        bpgqJCZj0vzzmtFBCtenpb5l/EccMFcAydGtGeLP33SaWiZ4Rne56GBInk6SATI/
        JSKweGD1y5GiAWipBR4C74HiAW9q6hCOuSdp/2WQxWT3T1j2sjlqxkHdtInUtwOm
        j5Ism276IndeQ9hR3reFR8PJnKIPx73oTBQ7p9CMR1J4ucq9Ny0J12wQYT00fmJp
        -----END RSA PRIVATE KEY-----
        -----BEGIN CERTIFICATE-----
        MIIEBTCCAu2gAwIBAgIUGfYFsj8HyA9Zv2l600hxzT8+gG4wDQYJKoZIhvcNAQEL
        BQAwgYkxCzAJBgNVBAYTAklOMQwwCgYDVQQIDANLQVIxDDAKBgNVBAcMA0JMUjEM
        MAoGA1UECgwDUkhUMQswCQYDVQQLDAJCVTEkMCIGA1UEAwwbY2VwaC1zc2wtcmhj
        czUtOGRjeHY2LW5vZGU1MR0wGwYJKoZIhvcNAQkBFg5hYmNAcmVkaGF0LmNvbTAe
        -----END CERTIFICATE-----

  3. 서비스 사양 파일을 사용하여 Ceph Object Gateway를 배포합니다.

    예제

    [root@rgw ~]# ceph orch apply -i rgw.yml