+420 774 447 953   [email protected]
Košík je prázdný

Jak na CentOS 7 nastavit šifrovanou komunikaci mezi clusterovými uzly pomocí Corosync pro zajištění bezpečnosti clusterových zpráv

V dnešní době, kdy kybernetické útoky a odposlechy jsou na denním pořádku, je zabezpečení komunikace mezi clusterovými uzly nezbytností pro udržení integrity a důvěrnosti dat. V tomto článku se zaměříme na konfiguraci šifrované komunikace mezi uzly v clusteru s využitím Corosync na operačním systému CentOS 7, což představuje jedno z osvědčených řešení pro zajištění bezpečnosti clusterových zpráv.

Předpoklady

Než začneme, ujistěte se, že:

  • Máte nainstalovaný CentOS 7 na všech uzlech clusteru.
  • Na všech uzlech je nainstalovaný Corosync a Pacemaker.
  • Máte root přístup nebo přístup přes sudo na všechny uzly.

Instalace a základní konfigurace Corosync

  1. Instalace balíčků

    Na všech uzlech clusteru nainstalujte Corosync a Pacemaker pomocí následujícího příkazu:

    sudo yum install corosync pacemaker pcs

  2. Konfigurace autentizace uzlů

    Na jednom z uzlů spusťte následující příkaz k nastavení hesla pro uživatele hacluster. Toto heslo umožní uzlům vzájemně se autentizovat.

    sudo passwd hacluster

    Poté použijte nástroj pcs k propagaci hesla na všechny uzly v clusteru:

    sudo pcs cluster auth node1 node2 -u hacluster -p heslo --force

    Nahraďte node1 node2 skutečnými hostitelskými jmény vašich uzlů.

Nastavení šifrované komunikace

  1. Generování a distribuce klíčů

    Corosync využívá ke šifrování komunikace mezi uzly symetrické šifrování. Prvním krokem je proto vygenerování sdíleného tajného klíče.

    Na jednom z uzlů vygenerujte klíč pomocí nástroje corosync-keygen, který je součástí balíčku Corosync.

    sudo corosync-keygen

    Po vygenerování klíče jej musíte zkopírovat na všechny ostatní uzly clusteru do adresáře /etc/corosync/.

  2. Konfigurace Corosync pro šifrovanou komunikaci

    V souboru /etc/corosync/corosync.conf na všech uzlech proveďte následující změny:

    • Ujistěte se, že sekce totem obsahuje následující řádky, které aktivují šifrování:

      secauth: on
crypto_cipher: aes256
crypto_hash: sha256

      Tímto zajistíte použití silného šifrování a hashovací funkce.

  3. Restart služeb

    Po dokončení konfigurace na všech uzlech restartujte služby Corosync a Pacemaker, aby se změny projevily:

    sudo systemctl restart corosync
sudo systemctl restart pacemaker

     

    Verifikace a testování

    Pro ověření, že komunikace mezi uzly probíhá šifrovaně, můžete použít nástroj tcpdump k zachycení síťového provozu mezi uzly a následně zkontrolovat, zda jsou data šifrována.

     

    Nastavení šifrované komunikace mezi uzly v clusteru pomocí Corosync na CentOS 7 je klíčovým krokem k zabezpečení vašeho clusteru. Postupujte podle výše uvedených kroků k zajištění, že vaše clusterová komunikace bude chráněna před neoprávněným odposlechem a útoky.