Linux

對於啟用 SSL 的 Glusterfs 卷,我在客戶端上使用哪些掛載選項?

  • February 16, 2017

更新: Gluster 的 Ubuntu 14.04 捆綁版本似乎對於我想做的事情來說太舊了(正如 @SmallLoanOf1M 所暗示的那樣)。這裡有一個用於 Ubuntu 的 gluster 社區 PPA,它有更新的版本和更好的支持SSL

我按照 Gluster 社區網站上的啟用 glusterfs SSL 模式在我的 glusterfs 伺服器上啟用 SSL(在 Ubuntu 14.04 上使用 v3.4.2)。我將 ssl 證書分發給伺服器和兩個客戶端。當我在伺服器上查看音量資訊時,我得到

# gluster vol info

Volume Name: pm1-dump
Type: Distribute
Volume ID: eb403a2b-e28b-440c-846a-fa9f82e748bd
Status: Started
Number of Bricks: 1
Transport-type: tcp
Bricks:
Brick1: 172.22.2.1:/mnt/pm2_pm1/pm1-dump
Options Reconfigured:
performance.write-behind: on
diagnostics.brick-log-level: WARNING
diagnostics.client-log-level: WARNING
nfs.enable-ino32: on
nfs.addr-namelookup: off
nfs.disable: on
performance.cache-refresh-timeout: 4
performance.cache-size: 32MB
performance.write-behind-window-size: 16MB
performance.io-thread-count: 24
auth.allow: 172.22.2.3,172.22.2.4
client.ssl: on

在客戶端(172.22.2.3)上,我通常像這樣安裝 gluster 共享:

/bin/mount -t glusterfs -o transport=tcp,direct-io-mode=disable 172.22.2.1:/pm1-dump /mnt/vmdumps

上面的連結沒有詳細說明添加到我mount上面的命令以SSL在客戶端上啟用的正確選項。儘管將 ssl 證書複製到/etc/ssl我在客戶端的日誌文件中說它找不到證書:

[2017-02-15 20:17:04.446330] W [client.c:2569:init] 0-pm1-dump: Volume is dangling. 
[2017-02-15 20:17:04.447417] I [socket.c:3561:socket_init] 0-pm1-dump: SSL support is ENABLED
[2017-02-15 20:17:04.447428] I [socket.c:3576:socket_init] 0-pm1-dump: using private polling thread
[2017-02-15 20:17:04.449102] E [socket.c:3594:socket_init] 0-pm1-dump: could not load our cert

我使用這些命令創建了證書

openssl genrsa -out gluster.key 2048
openssl req -new -x509 -days 3650 -key gluster.key \
-subj /CN=GLUSTERSSL -out gluster.pem

cp gluster.pem gluster.ca

沒有安裝選項。您已在卷屬性上啟用或禁用 SSL。然後它期望在/etc/ssl/gluster.*. 您還需要創建一個 gluster.ca 文件,它是所有已批准的 .pem 文件的串聯。

您連結到的指南基本上說了同樣的話。您需要將 .key 文件/etc/ssl/放在任何客戶端電腦上。另外,您是如何創建證書的?

最重要的是,您沒有提到您使用的 GlusterFS 版本。這非常重要,因為與此相關的功能和錯誤已經發生了很大變化。還要確保客戶端版本與伺服器版本匹配。

引用自:https://serverfault.com/questions/832783