附录 A. 在部署期间配置加密功能

A.1. 在部署期间使用证书颁发机构签署的证书来配置 TLS/SSL

请先确保您已拥有证书颁发机构签署的适当证书，然后再继续操作。证书的获取不在本文的阐述范围内。

确保所有节点都存在以下文件。
/etc/ssl/glusterfs.key
节点的私钥。
/etc/ssl/glusterfs.pem
证书颁发机构签署的证书，它会成为相应节点的证书。
/etc/ssl/glusterfs.ca
证书颁发机构的证书。对于自签名配置，该文件则包含所有节点的串联证书。
启用管理加密功能。
在各个节点创建 /var/lib/glusterd/secure-access 文件。
```
# touch /var/lib/glusterd/secure-access
```
配置加密功能。
将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage的过程中生成的配置文件所列出的各个卷中。这样即可在部署过程中，使用证书颁发机构签署的证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。
```
key=client.ssl,server.ssl,auth.ssl-allow
value=on,on,"host1;host2;host3"
```
请先确保您已保存所生成的文件，然后再进行编辑。

将以下各行添加到在第 7 章 使用 Cockpit UI 为承载引擎配置 Red Hat Gluster Storage 时所生成的配置文件中，以在部署过程中使用自签名证书在各个 gluster 卷之间创建并配置基于 TLS/SSL 的加密功能。gdeploy 所生成证书的有效期为一年。

在配置第一个卷时，请为 enable_ssl 和 ssl_clients 参数及其值添加相应的行：

[volume1]
enable_ssl=yes
ssl_clients=<Gluster_Network_IP1>,<Gluster_Network_IP2>,<Gluster_Network_IP3>

在配置后续卷时，请添加以下各行以定义 client.ssl、server.ssl 和 auth.ssl-allow 参数的值：

[volumeX]
key=client.ssl,server.ssl,auth.ssl-allow
value=on,on,"<Gluster_Network_IP1>;<Gluster_Network_IP2>;<Gluster_Network_IP3>"