Serverseitige Verschlüsselung konfigurieren

Online bearbeiten

Sie können eine serverseitige Verschlüsselung einrichten, um Anfragen an Ceph Object Gateway über HTTP zu senden, falls es nicht möglich ist, verschlüsselte Anfragen über SSL zu senden.

Bei dieser Prozedur wird HAProxy als Proxy und Lastausgleichsfunktion verwendet.

Voraussetzungen

Online bearbeiten

  • Ein aktiver IBM Storage Ceph -Cluster.

  • Zugriff auf Stammebene auf alle Knoten im Speichercluster.

  • Installation der Ceph Object Gateway -Software.

  • Installation der HAProxy -Software.

Vorgehensweise

Online bearbeiten

  1. Bearbeiten Sie die Datei haproxy.cfg :

    Beispiel

    frontend http_web *:80
    mode http
    default_backend rgw

frontend rgw­-https
  bind *:443 ssl crt /etc/ssl/private/example.com.pem
  default_backend rgw

backend rgw
    balance roundrobin
    mode http
    server  rgw1 10.0.0.71:8080 check
    server  rgw2 10.0.0.80:8080 check

  2. Kommentieren Sie die Zeilen aus, die den Zugriff auf das http -Front-End zulassen, und fügen Sie Anweisungen hinzu, um HAProxy anzuweisen, stattdessen das https -Front-End zu verwenden:

    Beispiel

    #     frontend http_web *:80
#     mode http
#     default_backend rgw

frontend rgw­-https
  bind *:443 ssl crt /etc/ssl/private/example.com.pem
  http-request set-header X-Forwarded-Proto https if { ssl_fc }
  http-request set-header X-Forwarded-Proto https
# here we set the incoming HTTPS port on the load balancer (eg : 443)
  http-request set-header X-Forwarded-Port 443
  default_backend rgw

backend rgw
    balance roundrobin
    mode http
    server  rgw1 10.0.0.71:8080 check
    server  rgw2 10.0.0.80:8080 check

  3. Setzen Sie die Option rgw_trust_forwarded_https auf true:

    Beispiel

    [ceph: root@host01 /]# ceph config set client.rgw rgw_trust_forwarded_https true

  4. Aktivieren und starten Sie HAProxy:

    [root@host01 ~]# systemctl enable haproxy
[root@host01 ~]# systemctl start haproxy