Show Table of Contents
附录 A. 在部署期间配置加密功能
A.1. 在部署期间使用证书颁发机构签署的证书来配置 TLS/SSL
A.1.1. 开始之前
请先确保您已拥有证书颁发机构签署的适当证书,然后再继续操作。证书的获取不在本文的阐述范围内。
A.1.2. 使用证书颁发机构签署的证书配置 TLS/SSL 加密功能
确保所有节点都存在以下文件。
- /etc/ssl/glusterfs.key
- 节点的私钥。
- /etc/ssl/glusterfs.pem
- 证书颁发机构签署的证书,它会成为相应节点的证书。
- /etc/ssl/glusterfs.ca
- 证书颁发机构的证书。对于自签名配置,该文件则包含所有节点的串联证书。
启用管理加密功能。
在各个节点创建 /var/lib/glusterd/secure-access 文件。
# touch /var/lib/glusterd/secure-access
配置加密功能。
将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage的过程中生成的配置文件所列出的各个卷中。这样即可在部署过程中,使用证书颁发机构签署的证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。
key=client.ssl,server.ssl,auth.ssl-allow value=on,on,"host1;host2;host3"
请先确保您已保存所生成的文件,然后再进行编辑。
A.2. 在部署期间使用自签名证书配置 TLS/SSL 加密功能
将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage 时所生成的配置文件中,以在部署过程中使用自签名证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。gdeploy 所生成证书的有效期为一年。
在配置第一个卷时,请为 enable_ssl 和 ssl_clients 参数及其值添加相应的行:
[volume1] enable_ssl=yes ssl_clients=<Gluster_Network_IP1>,<Gluster_Network_IP2>,<Gluster_Network_IP3>
在配置后续卷时,请添加以下各行以定义 client.ssl、server.ssl 和 auth.ssl-allow 参数的值:
[volumeX] key=client.ssl,server.ssl,auth.ssl-allow value=on,on,"<Gluster_Network_IP1>;<Gluster_Network_IP2>;<Gluster_Network_IP3>"
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.