V dnešní době, kdy kybernetické útoky a odposlechy jsou na denním pořádku, je zabezpečení komunikace mezi clusterovými uzly nezbytností pro udržení integrity a důvěrnosti dat. V tomto článku se zaměříme na konfiguraci šifrované komunikace mezi uzly v clusteru s využitím Corosync na operačním systému CentOS 7, což představuje jedno z osvědčených řešení pro zajištění bezpečnosti clusterových zpráv.

Předpoklady

Než začneme, ujistěte se, že:

• Máte nainstalovaný CentOS 7 na všech uzlech clusteru.
• Na všech uzlech je nainstalovaný Corosync a Pacemaker.
• Máte root přístup nebo přístup přes sudo na všechny uzly.

Instalace a základní konfigurace Corosync

1. Instalace balíčků

   Na všech uzlech clusteru nainstalujte Corosync a Pacemaker pomocí následujícího příkazu:

   sudo yum install corosync pacemaker pcs
   

2. Konfigurace autentizace uzlů

   Na jednom z uzlů spusťte následující příkaz k nastavení hesla pro uživatele hacluster. Toto heslo umožní uzlům vzájemně se autentizovat.

   sudo passwd hacluster
   

   Poté použijte nástroj pcs k propagaci hesla na všechny uzly v clusteru:

   sudo pcs cluster auth node1 node2 -u hacluster -p heslo --force
   

   Nahraďte node1 node2 skutečnými hostitelskými jmény vašich uzlů.

Nastavení šifrované komunikace

1. Generování a distribuce klíčů

   Corosync využívá ke šifrování komunikace mezi uzly symetrické šifrování. Prvním krokem je proto vygenerování sdíleného tajného klíče.

   Na jednom z uzlů vygenerujte klíč pomocí nástroje corosync-keygen, který je součástí balíčku Corosync.

   sudo corosync-keygen
   

   Po vygenerování klíče jej musíte zkopírovat na všechny ostatní uzly clusteru do adresáře /etc/corosync/.

2. Konfigurace Corosync pro šifrovanou komunikaci

   V souboru /etc/corosync/corosync.conf na všech uzlech proveďte následující změny:

   • Ujistěte se, že sekce totem obsahuje následující řádky, které aktivují šifrování:

     secauth: on
     crypto_cipher: aes256
     crypto_hash: sha256
     

     Tímto zajistíte použití silného šifrování a hashovací funkce.

3. Restart služeb

   Po dokončení konfigurace na všech uzlech restartujte služby Corosync a Pacemaker, aby se změny projevily:

   sudo systemctl restart corosync
   sudo systemctl restart pacemaker
   

   Verifikace a testování

   Pro ověření, že komunikace mezi uzly probíhá šifrovaně, můžete použít nástroj tcpdump k zachycení síťového provozu mezi uzly a následně zkontrolovat, zda jsou data šifrována.

    

   Nastavení šifrované komunikace mezi uzly v clusteru pomocí Corosync na CentOS 7 je klíčovým krokem k zabezpečení vašeho clusteru. Postupujte podle výše uvedených kroků k zajištění, že vaše clusterová komunikace bude chráněna před neoprávněným odposlechem a útoky.