ОБНОВИТЬ: Кажется, версия Gluster в комплекте с Ubuntu 14.04 слишком стара для того, что я хочу делать (как намекает @ SmallLoanOf1M). Есть PPA сообщества gluster для Ubuntu Вот у которого есть более новые версии с лучшими SSL поддержка.
Я следил за Включить режим SSL glusterfs на веб-сайте сообщества Gluster, чтобы включить SSL на моем сервере glusterfs (с использованием v3.4.2 в Ubuntu 14.04). Я раздал сертификаты ssl как серверу, так и двум клиентам. Когда я просматриваю информацию о томе на сервере, я получаю
# gluster vol info
Volume Name: pm1-dump
Type: Distribute
Volume ID: eb403a2b-e28b-440c-846a-fa9f82e748bd
Status: Started
Number of Bricks: 1
Transport-type: tcp
Bricks:
Brick1: 172.22.2.1:/mnt/pm2_pm1/pm1-dump
Options Reconfigured:
performance.write-behind: on
diagnostics.brick-log-level: WARNING
diagnostics.client-log-level: WARNING
nfs.enable-ino32: on
nfs.addr-namelookup: off
nfs.disable: on
performance.cache-refresh-timeout: 4
performance.cache-size: 32MB
performance.write-behind-window-size: 16MB
performance.io-thread-count: 24
auth.allow: 172.22.2.3,172.22.2.4
client.ssl: on
На клиенте (172.22.2.3) я обычно монтирую общий ресурс gluster следующим образом:
/bin/mount -t glusterfs -o transport=tcp,direct-io-mode=disable 172.22.2.1:/pm1-dump /mnt/vmdumps
Ссылка выше не содержит подробных сведений о правильных вариантах, которые следует добавить в мои mount команда выше, чтобы включить SSL однако на клиенте. Несмотря на копирование сертификатов ssl на /etc/ssl в моем файле журнала на клиенте говорится, что он не может найти сертификаты:
[2017-02-15 20:17:04.446330] W [client.c:2569:init] 0-pm1-dump: Volume is dangling.
[2017-02-15 20:17:04.447417] I [socket.c:3561:socket_init] 0-pm1-dump: SSL support is ENABLED
[2017-02-15 20:17:04.447428] I [socket.c:3576:socket_init] 0-pm1-dump: using private polling thread
[2017-02-15 20:17:04.449102] E [socket.c:3594:socket_init] 0-pm1-dump: could not load our cert
Я создал сертификаты с помощью этих команд
openssl genrsa -out gluster.key 2048
openssl req -new -x509 -days 3650 -key gluster.key \
-subj /CN=GLUSTERSSL -out gluster.pem
cp gluster.pem gluster.ca
Для этого нет возможности крепления. SSL включен или отключен в свойствах тома, что вы сделали. Затем он ожидает найти ваши сертификаты в /etc/ssl/gluster.*. Вам также необходимо создать файл gluster.ca, который представляет собой объединение всех одобренных вами файлов .pem.
Руководство, на которое вы ссылаетесь, говорит, по сути, то же самое. Вам нужно будет поместить свой файл .key в /etc/ssl/ на любых клиентских машинах. Кроме того, как вы создавали свои сертификаты?
Самое главное, вы не упомянули, какую версию GlusterFS вы используете. Это очень важно, так как функции и ошибки, связанные с этим, сильно изменились. Также убедитесь, что версия клиента соответствует версии сервера.