ОБНОВЛЕНИЕ : Кажется, связанная версия Gluster с Ubuntu 14.04 слишком стара для того, что я хочу делать (как намекает @ SmallLoanOf1M). Здесь есть PPA сообщества для Ubuntu , в котором есть более новые версии с улучшенной поддержкой SSL
.
Я выполнил Включить режим SSL glusterfs на веб-сайте сообщества Gluster, чтобы включить SSL на моем сервере glusterfs (используя v3.4.2 в Ubuntu 14.04). Я раздал сертификаты ssl как серверу, так и двум клиентам. Когда я просматриваю информацию о томе на сервере, я получаю
# gluster vol info
Volume Name: pm1-dump
Type: Distribute
Volume ID: eb403a2b-e28b-440c-846a-fa9f82e748bd
Status: Started
Number of Bricks: 1
Transport-type: tcp
Bricks:
Brick1: 172.22.2.1:/mnt/pm2_pm1/pm1-dump
Options Reconfigured:
performance.write-behind: on
diagnostics.brick-log-level: WARNING
diagnostics.client-log-level: WARNING
nfs.enable-ino32: on
nfs.addr-namelookup: off
nfs.disable: on
performance.cache-refresh-timeout: 4
performance.cache-size: 32MB
performance.write-behind-window-size: 16MB
performance.io-thread-count: 24
auth.allow: 172.22.2.3,172.22.2.4
client.ssl: on
На клиенте (172.22.2.3) я обычно монтирую общий ресурс gluster следующим образом:
/bin/mount -t glusterfs -o transport=tcp,direct-io-mode=disable 172.22.2.1:/pm1-dump /mnt/vmdumps
Ссылка выше не содержит подробных сведений о правильных параметрах для добавления в мои mount
команда выше, чтобы включить SSL
на клиенте. Несмотря на копирование сертификатов ssl в / etc / ssl
, в моем файле журнала на клиенте говорится, что он не может найти сертификаты:
[2017-02-15 20:17:04.446330] W [client.c:2569:init] 0-pm1-dump: Volume is dangling.
[2017-02-15 20:17:04.447417] I [socket.c:3561:socket_init] 0-pm1-dump: SSL support is ENABLED
[2017-02-15 20:17:04.447428] I [socket.c:3576:socket_init] 0-pm1-dump: using private polling thread
[2017-02-15 20:17:04.449102] E [socket.c:3594:socket_init] 0-pm1-dump: could not load our cert
Я создал сертификаты с помощью этих команд
openssl genrsa -out gluster.key 2048
openssl req -new -x509 -days 3650 -key gluster.key \
-subj /CN=GLUSTERSSL -out gluster.pem
cp gluster.pem gluster.ca
ਇਸਦੇ ਲਈ ਕੋਈ ਮਾ mountਂਟ ਵਿਕਲਪ ਨਹੀਂ ਹੈ. SSL ਵਾਲੀਅਮ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਤੇ ਸਮਰਥਿਤ ਜਾਂ ਅਸਮਰਥਿਤ ਹੈ, ਜੋ ਤੁਸੀਂ ਕੀਤਾ ਹੈ. ਇਹ ਫਿਰ ਤੁਹਾਡੇ ਸਰਟੀਫਿਕੇਟ ਨੂੰ / ਆਦਿ / ਐਸਐਸਐਲ / ਗਲੇਸਟਰ ਵਿੱਚ ਲੱਭਣ ਦੀ ਉਮੀਦ ਕਰਦਾ ਹੈ. [
. ਤੁਹਾਨੂੰ ਇੱਕ gluster.ca ਫਾਈਲ ਬਣਾਉਣ ਦੀ ਵੀ ਜ਼ਰੂਰਤ ਹੋਏਗੀ, ਜਿਹੜੀ ਤੁਹਾਡੀਆਂ ਸਾਰੀਆਂ ਪ੍ਰਵਾਨਤ .pem ਫਾਈਲਾਂ ਦਾ ਸੰਕੇਤ ਹੈ.
ਤੁਹਾਡੇ ਦੁਆਰਾ ਲਿੰਕ ਕੀਤੀ ਗਾਈਡ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਉਹੀ ਗੱਲ ਕਹਿੰਦੀ ਹੈ. ਤੁਹਾਨੂੰ ਆਪਣੀ .key ਫਾਈਲ ਨੂੰ ਕਿਸੇ ਵੀ ਕਲਾਇੰਟ ਮਸ਼ੀਨਾਂ ਉੱਤੇ / etc / ssl /
ਦੇ ਅੰਦਰ ਰੱਖਣ ਦੀ ਜ਼ਰੂਰਤ ਹੋਏਗੀ. ਨਾਲ ਹੀ, ਤੁਸੀਂ ਆਪਣੇ ਸਰਟੀਫਿਕੇਟ ਕਿਵੇਂ ਬਣਾਏ?
ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਣ ਗੱਲ ਇਹ ਹੈ ਕਿ ਤੁਸੀਂ ਗੁਲਸਟਰਐਫਐਸ ਦਾ ਕਿਹੜਾ ਸੰਸਕਰਣ ਇਸਤੇਮਾਲ ਕਰ ਰਹੇ ਹੋ ਬਾਰੇ ਜ਼ਿਕਰ ਨਹੀਂ ਕੀਤਾ ਹੈ. ਇਹ ਬਹੁਤ ਮਹੱਤਵਪੂਰਣ ਹੈ, ਕਿਉਂਕਿ ਇਸ ਸੰਬੰਧੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਅਤੇ ਬੱਗ ਬਹੁਤ ਬਦਲ ਗਏ ਹਨ. ਇਹ ਵੀ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਕਲਾਇੰਟ ਵਰਜ਼ਨ ਸਰਵਰ ਦੇ ਸੰਸਕਰਣ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ.