Säkra upp din GlusterFS installation

Jag har tidigare gått igenom hur man sätter upp ett replikerat filsystem med GlusterFS och även noterat hur man gör för att lägga till och ta bort servrar ur konfigurationen.

Hur gör man då när man har ett klustrat filsystem, men inte vill att kreti och pleti skall kunna ansluta till det? Jo, fär att hindra att andra servrar går med i klustert gör man så här på en av de ingående klusternoderna:

gluster volume set replvolume auth.allow 10.0.0.100,10.0.0.101,10.0.0.102

Om man även vill hindra klienter från att ansluta utan tillåtelse måste man använda en brandvägg så som iptables. Varje brick får sin egen port, så det är ganksa enkelt att fixa. Kolla först vilken port din brick använder:

[root@glustersrv1 ~]# gluster volume status replvolume
Status of volume: replvolume
Gluster process                                         Port    Online  Pid
------------------------------------------------------------------------------
Brick glustersrv1:/export/sdb1/brick                  49152   Y       3218
Brick glustersrv3:/export/sdb1/brick                  49152   Y       4387
NFS Server on localhost                                 2049    Y       23745
Self-heal Daemon on localhost                           N/A     Y       23752
NFS Server on glustersrv3                             2049    Y       4659
Self-heal Daemon on glustersrv3                       N/A     Y       4667

Här ovan är det alltså 49152 som används, så börja med att tillåta dina legitima klienter: (i det här fallet 10.0.0.200 och 10.0.0.201):

iptables -A INPUT -p tcp --dport 49152 -s 10.0.0.200  -j ACCEPT
iptables -A INPUT -p tcp --dport 49152 -s 10.0.0.201  -j ACCEPT

När det är klart kan du börja blocka:

iptables -A INPUT -p tcp --dport 49152 -s 10.0.0.0/24  -j REJECT

Du behöver göra det här på alla ingående servrar.

Reply

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*

Switch to our mobile site

Page optimized by WP Minify WordPress Plugin