Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Как включить TLS/SSL-шифрование Glusterfs

В предыдущих статьях мы уже упоминали установку кластер GlusterFS на Ubuntu Linux. Теперь поговорим о том как включить сетевое шифрование с использованием TLS / SSL для кластера хранения Glusterfs в Linux по соображениям безопасности при использовании через небезопасную сеть, такую как глобальная сеть (WAN) или Интернет? Как настроить шифрование ввода-вывода и шифрование управления с помощью Glusterfs?

Круглосуточная поддержка сервера и сайта, настройка серверов, кластеров, репликации и др., обращайтесь office@system-admins.ru

GlusterFS позволяет настроить TLS (Transport Layer Security) с использованием OpenSSL. GlusterFS имеет две опции для TLS / SSL. Во-первых, он может осуществлять шифрование связи ввода-вывода между серверами и клиентами. Второе шифрование управляющего сервера GlusterFS, то есть всякий раз, когда вы выдаете статус командной строки или создаете новые тома и так далее.

Использование SSL с Glusterfs

Файлы, необходимые для настройки сетевого шифрования в GlusterFS

Вам необходимо создать следующие файлы для TLS / SSL-шифрования для каждого узла:

  1. /etc/ssl/glusterfs.pem — Ваш сертификат. Этот файл должен быть создан на каждом узле, и вы не должны размещать его на каком-либо другом узле или любым другим сервером в кластере.
  2. /etc/ssl/glusterfs.key — Ваш личный ключ. Этот файл должен быть создан на каждом узле , и вы не должны размещать его на каком-либо другом узле или любым другим сервером в кластере.
  3. /etc/ssl/glusterfs.ca — Конкатенация всех узлов сертификата. Этот файл не является уникальным и должен быть идентичным для всех узлов и клиентов сервера.
  4. /var/lib/glusterd/secure-access — включение шифрования TLS в пути управления для каждого узла. Вам нужно создать этот файл на каждом узле с помощью команды touch.

Предположим, у вас есть четырехузловой кластер GlusterFS:

IP адрес Имя узла, используемое для TLS авторизации
192.168.2.45 Gfs01
192.168.2.46 Gfs01
192.168.2.47 Gfs01
192.168.2.48 Gfs01

Имена (CN) должны быть доступны со всех узлов, должно быть установлены с использованием либо DNS, либо файла /etc/hosts на каждом узле:
$ cat /etc/hosts

 

Использование SSL с Glusterfs

Введите следующую команду на каждом узле (gfs01, gfs02, gfs03 и gfs04).

Создание личного ключа для каждого узла и клиента

Как сгенерировать подписанный сертификат для каждого узла

На узле gfs01 (обратите внимание, что общее имя (CN) должно соответствовать вашему имени хоста, как указано в DNS или /etc/hosts):

На узле gfs02 (обратите внимание, что общее имя (CN) должно соответствовать вашему имени хоста, как указано в DNS или /etc/hosts):

На узле gfs03 (обратите внимание, что общее имя (CN) должно соответствовать вашему имени хоста, как указано в DNS или /etc/hosts):

На узле gfs04 (обратите внимание, что общее имя (CN) должно соответствовать вашему имени хоста, как указано в DNS или /etc/hosts):

Для client01 и так далее:

Как создать сертификаты файла сертификатов (CA)

На gfs01 (выполните команду на узле gfs01) скопируйте все файлы .pem со всех других узлов, включая клиентов, следующим образом:

Введите следующую команду, чтобы объединить собранные файлы в один файл:

Теперь положим файл glusterfs.ca на все узлы сервера:

Как включить шифрование управления на узлах сервера

Введите следующую команду на каждом узле (gfs01, gfs02, gfs03, gfs04):

Перезагрузите glusterd на всех серверах:

Как включить шифрование управления на клиентских узлах

Предположим, что ваше имя тома — gvol0. Введите следующую команду для всех клиентов:

Размонтируйте том на всех клиентах:

Смонтируйте том на всех клиентах:

Как включить TLS/SSL I/O шифрование для тома с именем gvol0?

Сначала остановите том gvol0, чтобы включить SSL, запустите (введите все команды на узле gfs01):

Затем введите следующую команду, включающую имена всех серверов и клиента, которые вы хотите предоставить для доступа к тому. Синтаксис:

Например:

В этом примере все клиенты, прошедшие проверку подлинности TLS, подключаются и получают доступ к тому:

Включите на стороне клиента ssl для тома:

Включите сервер ssl для тома:

Запустите том, запустите:

Вам необходимо смонтировать том на всех клиентах / серверах (если есть):

Убедитесь, что SSL включен в пути ввода-вывода для тома с именем gvol0:

 

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.