4.4. Beast의 SSL 구성
OpenSSL 라이브러리를 사용하여 TLS(Transport Layer Security)를 제공하도록 Beast 프런트 엔드 웹 서버를 구성할 수 있습니다. Beast와 함께 SSL(Secure Socket Layer)을 사용하려면 Ceph Object Gateway 노드의 호스트 이름과 일치하는 CA(인증 기관)에서 인증서를 가져와야 합니다. 또한 Beast에는 단일. pem
파일에 있는 비밀 키, 서버 인증서 및 기타 CA가 필요합니다.
비밀 키 해시가 포함되어 있기 때문에 .pem
파일에 대한 무단 액세스를 방지합니다.
Red Hat은 SAN(Subject Alternative Name) 필드가 있는 CA와 S3 스타일 하위 도메인과 함께 사용할 와일드카드를 가져오는 것이 좋습니다.
Red Hat은 소규모에서 중간 규모의 테스트 환경에 대해 Beast 프런트 엔드 웹 서버에서만 SSL을 사용할 것을 권장합니다. 프로덕션 환경의 경우 HAProxy를 사용하고 keepalived
를 사용하여 HAProxy에서 SSL 연결을 종료해야 합니다.
사전 요구 사항
- 실행 중이고 정상적인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway 소프트웨어 패키지 설치.
- OpenSSL 소프트웨어 패키지 설치.
- Ceph Object Gateway 노드에 대한 루트 수준 액세스.
절차
현재 디렉터리에
rgw.yml
이라는 새 파일을 만듭니다.예제
[root@rgw ~]# touch rgw.yml
편집할
rgw.yml
파일을 열고 환경에 맞게 사용자 지정합니다.구문
service_type: rgw service_id: SERVICE_ID service_name: SERVICE_NAME placement: hosts: - HOST_NAME spec: ssl: true rgw_frontend_ssl_certificate: CERT_HASH
예제
service_type: rgw service_id: foo service_name: rgw.foo placement: hosts: - host1 spec: ssl: true rgw_frontend_ssl_certificate: | -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEA+Cf4l9OagD6x67HhdCy4Asqw89Zz9ZuGbH50/7ltIMQpJJU0 gu9ObNtIoC0zabJ7n1jujueYgIpOqGnhRSvsGJiEkgN81NLQ9rqAVaGpadjrNLcM bpgqJCZj0vzzmtFBCtenpb5l/EccMFcAydGtGeLP33SaWiZ4Rne56GBInk6SATI/ JSKweGD1y5GiAWipBR4C74HiAW9q6hCOuSdp/2WQxWT3T1j2sjlqxkHdtInUtwOm j5Ism276IndeQ9hR3reFR8PJnKIPx73oTBQ7p9CMR1J4ucq9Ny0J12wQYT00fmJp -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIEBTCCAu2gAwIBAgIUGfYFsj8HyA9Zv2l600hxzT8+gG4wDQYJKoZIhvcNAQEL BQAwgYkxCzAJBgNVBAYTAklOMQwwCgYDVQQIDANLQVIxDDAKBgNVBAcMA0JMUjEM MAoGA1UECgwDUkhUMQswCQYDVQQLDAJCVTEkMCIGA1UEAwwbY2VwaC1zc2wtcmhj czUtOGRjeHY2LW5vZGU1MR0wGwYJKoZIhvcNAQkBFg5hYmNAcmVkaGF0LmNvbTAe -----END CERTIFICATE-----
서비스 사양 파일을 사용하여 Ceph Object Gateway를 배포합니다.
예제
[root@rgw ~]# ceph orch apply -i rgw.yml