对于启用 SSL 的 Glusterfs 卷,我在客户端上使用哪些挂载选项?

对于启用 SSL 的 Glusterfs 卷,我在客户端上使用哪些挂载选项?

更新:Ubuntu 14.04 捆绑的 Gluster 版本似乎太旧了,不适合我想要做的事情(正如@SmallLoanOf1M 所暗示的那样)。Ubuntu 有一个 gluster 社区 PPA这里它具有较新的版本并提供更好的SSL支持。

我关注了启用 glusterfs SSL 模式在 Gluster 社区网站上启用我的 glusterfs 服务器上的 SSL(在 Ubuntu 14.04 上使用 v3.4.2)。我将 SSL 证书分发给服务器和两个客户端。当我在服务器上查看卷信息时,我得到

# gluster vol info

Volume Name: pm1-dump
Type: Distribute
Volume ID: eb403a2b-e28b-440c-846a-fa9f82e748bd
Status: Started
Number of Bricks: 1
Transport-type: tcp
Bricks:
Brick1: 172.22.2.1:/mnt/pm2_pm1/pm1-dump
Options Reconfigured:
performance.write-behind: on
diagnostics.brick-log-level: WARNING
diagnostics.client-log-level: WARNING
nfs.enable-ino32: on
nfs.addr-namelookup: off
nfs.disable: on
performance.cache-refresh-timeout: 4
performance.cache-size: 32MB
performance.write-behind-window-size: 16MB
performance.io-thread-count: 24
auth.allow: 172.22.2.3,172.22.2.4
client.ssl: on

在客户端(172.22.2.3)上,我通常像这样挂载 gluster 共享:

/bin/mount -t glusterfs -o transport=tcp,direct-io-mode=disable 172.22.2.1:/pm1-dump /mnt/vmdumps

但是,上面的链接并未详细介绍要添加到上述mount命令中以在客户端上启用的正确选项SSL。尽管将 SSL 证书复制到/etc/ssl我的日志文件中,但客户端仍显示找不到证书:

[2017-02-15 20:17:04.446330] W [client.c:2569:init] 0-pm1-dump: Volume is dangling. 
[2017-02-15 20:17:04.447417] I [socket.c:3561:socket_init] 0-pm1-dump: SSL support is ENABLED
[2017-02-15 20:17:04.447428] I [socket.c:3576:socket_init] 0-pm1-dump: using private polling thread
[2017-02-15 20:17:04.449102] E [socket.c:3594:socket_init] 0-pm1-dump: could not load our cert

我使用这些命令创建了证书

openssl genrsa -out gluster.key 2048
openssl req -new -x509 -days 3650 -key gluster.key \
-subj /CN=GLUSTERSSL -out gluster.pem

cp gluster.pem gluster.ca

答案1

没有用于此目的的挂载选项。您已在卷属性上启用或禁用 SSL。然后它会在 中找到您的证书/etc/ssl/gluster.*。您还需要创建一个 gluster.ca 文件,它是所有已批准的 .pem 文件的串联。

您链接的指南基本上说的是同样的事情。您需要将您的 .key 文件放在/etc/ssl/任何客户端机器上。另外,您是如何创建证书的?

最重要的是,您没有提到您使用的是哪个版本的 GlusterFS。这非常重要,因为与此相关的功能和错误已经发生了很大变化。还要确保客户端版本与服务器版本匹配。

相关内容