91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

現有CDP-DC集群怎么啟用Auto-TLS

發布時間:2022-01-04 10:54:09 來源:億速云 閱讀:177 作者:柒染 欄目:大數據

這篇文章給大家介紹現有CDP-DC集群怎么啟用Auto-TLS,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

文檔編寫目的
下面主要介紹如何在現有的  CDP-DC  集群上啟用  TLS  。
內容概述
1) TLS概述
2) Level-0:基礎TLS/SSL配置(在CM server主機上進行)
3) Level-1:為集群啟用加密
測試環境
1) CM和Cloudera Runtime版本為7.1.1
2) Redhat7.7
3) 擁有Cloudera Manager的管理員賬號
4) 集群未啟用Kerberos和LDAP認證
現有CDP-DC集群怎么啟用Auto-TLS
現有CDP-DC集群怎么啟用Auto-TLS

 
TLS概述
背景  
部署了Kerberos之后,CM會提示有安全隱患,至少需要一級TLS加密。
現有CDP-DC集群怎么啟用Auto-TLS
現有CDP-DC集群怎么啟用Auto-TLS
介紹
傳輸層安全性(  TLS  )在  ClouderaManager  服務器和代理之間的通信中提供加密和身份驗證。      加密可防止通信偵聽,并且身份驗證有助于防止惡意服務器或代理在群集中引起問題。  Cloudera Manager  支持三種級別的  TLS  安全性,三種必須逐級配置。

  • 級別1(好) - 此級別僅配置瀏覽器和ClouderaManager之間以及代理和ClouderaManager服務器之間的加密通信。請參閱僅為Cloudera Manager配置TLS加密,然后按照級別1:為Cloudera Manager代理配置TLS加密,以獲取說明。 1級加密可以防止對代理和Cloudera Manager之間的通信進行窺探。

  • 級別2(更好) - 此級別包括代理和服務器之間的加密通信,以及代理對Cloudera Manager服務器證書的強大驗證。請參閱第2級:由代理配置ClouderaManager服務器的TLS驗證。級別2通過驗證由Cloudera Manager服務器提供的證書的信任,為代理提供額外的安全級別。

  • 級別3(最佳) - 代理和服務器之間的加密通信。3級TLS包括代理和服務器之間的加密通信,由代理對Cloudera Manager服務器證書進行強大的驗證,并使用自簽名或CA簽名的證書將代理驗證到Cloudera Manager服務器。請參閱第3級:將代理的TLS驗證配置到Cloudera Manager服務器。級別3解決了不受信任的網絡場景,您需要防止群集服務器被主機上運行的不受信任的代理人欺騙。 Cloudera建議您在啟用Kerberos身份驗證之前,為不受信任的網絡環境配置3級TLS加密。這提供了Cloudera Manager服務器和集群中經過驗證的代理之間的keytab的安全通信。

Cloudera  強烈建議您在開始配置  Cloudera Manager  服務器和代理使用  TLS  之前,設置完整功能的  CDH  群集和  Cloudera Manager  。  Cloudera Manager  將繼續接收端口  7180  上的  HTTP  請求(默認值),但一旦啟用  TLS  ,它將立即將客戶端重定向到端口  7183  以進行  HTTPS  連接。
一旦配置了  3  級  TLS  ,如果要添加運行代理的新主機,則必須手動部署適用于您的平臺的  ClouderaManager  代理和守護程序軟件包,為主機發出新的證書,配置  /  etc   /  cloudera  -  scm  -agent/config.ini  使用  SSL / TLS  ,然后使主機聯機。相反,您可以禁用  TLS  添加主機,配置  TLS  的新主機,然后重新啟用適當的配置。任何一種方法都是有效的,根據您的需要。
對于運行代理的所有主機,  Cloudera  建議您首先使用  Java  創建密鑰庫,然后使用  openSSL  導出密鑰和證書以供代理或色相使用。

 
工具概述
Java Keytool和OpenSSL是密鑰管理工具,可讓您創建TLS / SSL所需的安全工件。除了下面的兩個簡短概述之外,有關更多信息  ,請參見  “  如何為  TLS / SSL  證書和密鑰轉換文件編碼(  DER  ,  JKS  ,  PEM  )  ”。
Java Keytool
Oracle Java   keytool是Oracle JDK附帶的實用程序,用于創建和管理加密密鑰和證書。在針對Cloudera Manager集群配置TLS / SSL的過程中,您將創建私有密鑰對、密鑰庫、證書簽名請求,并使用此軟件工具創建供集群特定使用的信任庫,如本指南中各個步驟所述。
Cloudera Manager TLS / SSL配置的Java Keytool要求
對于使用Java Keytool的任何步驟,請確保:
? 使用Oracle Java   keytool而非OpenJDK之類的工具。
? 使用從Oracle下載的JDK或Cloudera Manager服務器主機上此默認路徑中的Cloudera提供的Oracle JDK:
/usr/java/jdk1.8.0_232-cloudera/bin/jre/lib/security
? 所有步驟均使用相同版本的Java keytool。如果主機上安裝了多個JDK,請設置PATH 變量,以便首先調用Oracle JDK,如本例所示:
export JAVA_HOME=/usr/java/jdk1.8.0_232-cloudera
export PATH=$JAVA_HOME/bin:$PATH
? 在任何調用-keypass 和-storepass兩個選項的命令中,請使用和相同的密碼。Cloudera Manager要求密鑰及其密鑰庫使用相同的密碼。
OpenSSL
OpenSSL是一種開放源代碼加密和TLS / SSL工具包,自1999年成立以來已被廣泛使用。與Java Keytool一樣,OpenSSL允許您創建私鑰,證書請求和密鑰庫,并提供用于驗證證書的選項。
在RPC客戶端和服務器通信期間,Cloudera Manager Agent主機充當Cloudera Manager Server主機的客戶端。代理主機、Hue、Impala和其他基于Python的服務需要PEM格式的密鑰和證書(PKCS#8),這就是為什么以下步驟包括使用此工具轉換一些JKS工件的原因。有關更多信息,請參見“如何為TLS / SSL證書和密鑰轉換文件編碼(DER,JKS,PEM)”。

 
如何將自簽名證書用于TLS
自簽名證書不應用于生產部署。自簽名證書將在密鑰生成過程中創建并存儲在指定的密鑰庫中,并且應替換為已簽名證書。使用自簽名證書要求生成和分發證書,并為證書建立顯式信任。
但是,使用自簽名證書可以輕松獲取用于TLS / SSL配置的證書,并且可能適用于非生產或測試設置。有關更多信息,請參閱  為  手動配置  加密 。
在下面的命令中為您的系統替換路徑,文件名,別名和其他示例。
1) 創建證書目錄:
mkdir -p /opt/cloudera/security/x509/ /opt/cloudera/security/jks/
現有CDP-DC集群怎么啟用Auto-TLS
向Cloudera Manager授予對目錄的訪問權限,設置正確的權限,然后更改為目錄:
sudo chown -R cloudera-scm:cloudera-scm /opt/cloudera/security/jkssudo umask 0700cd /opt/cloudera/security/jks
現有CDP-DC集群怎么啟用Auto-TLS
2) 生成密鑰對和自簽名證書,并使用與密鑰庫和storepass相同的密碼將所有內容存儲在密鑰庫中,如下所示。將當前主機的FQDN用于CN,以避免引發  java.io.IOException  : HTTPS hostname wrong 異常。用適合您的環境的條目替換OU,O,L,ST和C的值:
keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname "cn=cm01.example.com, ou=Department,o=Company, l=City, st=State, c=US" -keypass password -keystore example.jks -storepass password

[root@ip-10-0-0-168 jks]# keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname "cn=ap-southeast-1.compute.internal, ou=ipausers,> o=Cloudera, l=Shanghai, st=Shanghai, c=CN" -keypass cloudera -keystore example.jks -storepass cloudera
Warning:The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12".[root@ip-10-0-0-168 jks]#
現有CDP-DC集群怎么啟用Auto-TLS
3)    將默認的Java信任庫(  cacerts  )復制到備用系統信任庫(  jssecacerts  ):
export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdksource /etc/profilesudo cp $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/jssecacerts
現有CDP-DC集群怎么啟用Auto-TLS
4)    從密鑰庫(  example.jks  )導出證書。
keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cer

[root@ip-10-0-0-168 jks]# keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cerEnter keystore password:  Certificate stored in file <selfsigned.cer>
Warning:The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12".[root@ip-10-0-0-168 jks]#
現有CDP-DC集群怎么啟用Auto-TLS
5)    將自簽名證書(  selfsigned.cer  )復制到  /opt/  cloudera  /security/x509/   目錄中。
cp selfsigned.cer /opt/cloudera/security/x509/cmhost.pem
現有CDP-DC集群怎么啟用Auto-TLS
6)    將公共密鑰導入備用系統信任庫(  jssecacerts  ),以便在此計算機上使用Java運行的任何進程都將信任該密鑰。Java信任庫的默認密碼為  changeit  。不要使用在步驟2中為密鑰庫創建的密碼。
$ keytool -import -alias cmhost -file /opt/cloudera/security/jks/selfsigned.cer-keystore $JAVA_HOME/jre/lib/security/jssecacerts -storepass changeit
[root@ip-10-0-0-168 jks]# keytool -import -alias cmhost -file /opt/cloudera/security/jks/selfsigned.cerEnter keystore password:  Re-enter new password:Owner: CN=ap-southeast-1.compute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CNIssuer: CN=ap-southeast-1.compute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CNSerial number: 33f6581eValid from: Sun Jul 19 06:07:24 UTC 2020 until: Sat Oct 17 06:07:24 UTC 2020Certificate fingerprints:     MD5:  41:C5:94:8B:32:D2:95:67:1D:A2:12:75:6E:05:22:E0     SHA1: 8B:BE:F7:7F:75:A0:9B:55:0E:A7:6C:6E:2D:CD:32:CB:79:41:9C:EF     SHA256: 54:ED:FE:C2:FA:89:27:DC:3B:06:27:5C:EA:FB:93:2A:8B:A4:6B:27:4A:6E:13:DF:36:DB:76:E9:DE:33:10:55Signature algorithm name: SHA256withRSASubject Public Key Algorithm: 2048-bit RSA keyVersion: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=falseSubjectKeyIdentifier [KeyIdentifier [0000: 6F C9 8E D3 60 A8 EA 33   BB 44 01 C8 34 5C 14 B1  o...`..3.D..4..0010: E9 CF 6D 1C                                       ..m.]]
Trust this certificate? [no]:  yesCertificate was added to keystore[root@ip-10-0-0-168 jks]#
現有CDP-DC集群怎么啟用Auto-TLS
重要
在群集中的每個主機上重復此過程。
7)    重命名密鑰庫:
mv /opt/cloudera/security/jks/example.jks /opt/cloudera/security/jks/cmhost-keystore.jks
現有CDP-DC集群怎么啟用Auto-TLS
8)    您還可以刪除證書,因為它已在步驟5中復制到相應的路徑。
rm /opt/cloudera/security/jks/selfsigned.cer
現有CDP-DC集群怎么啟用Auto-TLS
9)    自簽名證書設置完成。

 
CM配置更新
通過CM管理主頁面->管理->安全
現有CDP-DC集群怎么啟用Auto-TLS
點擊Enable Auto-TLS,進入Auto-TLS的配置頁面
現有CDP-DC集群怎么啟用Auto-TLS
填寫配置信息
現有CDP-DC集群怎么啟用Auto-TLS
點擊下一步:
現有CDP-DC集群怎么啟用Auto-TLS
按照提示,登陸到Cloudera-Manager server的服務器上,然后重啟Cloudera Manager Server服務。
systemctl restart cloudera-scm-server
待CM Server的服務重啟后,繼續使用原來的登陸端口登陸,瀏覽器會自動跳轉到7183端口。
現有CDP-DC集群怎么啟用Auto-TLS
點擊高級
現有CDP-DC集群怎么啟用Auto-TLS
點擊繼續前往…鏈接,進入到CM的主頁面
現有CDP-DC集群怎么啟用Auto-TLS
從主頁面可以看到,有很多過期配置。點擊過期配置需要重啟按鈕,進行服務重啟(集群和CMS服務都需要重啟)
現有CDP-DC集群怎么啟用Auto-TLS
現有CDP-DC集群怎么啟用Auto-TLS
現有CDP-DC集群怎么啟用Auto-TLS
如果有更新TLS Certificates信息,則點擊Rotate TLS Certificates
現有CDP-DC集群怎么啟用Auto-TLS
通過Auto-TLS,可以簡單的啟動整個集群的TLS,減少了手工配置的復雜度。    

關于現有CDP-DC集群怎么啟用Auto-TLS就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

洛南县| 肥城市| 新疆| 宁德市| 徐水县| 青神县| 信阳市| 昭平县| 黎平县| 从化市| 大悟县| 杭州市| 翼城县| 晴隆县| 汕头市| 嘉义市| 宾川县| 铁岭县| 格尔木市| 文昌市| 垣曲县| 阜新| 临沭县| 吉木萨尔县| 冷水江市| 鹰潭市| 安龙县| 木兰县| 博兴县| 勐海县| 石景山区| 莱芜市| 淮北市| 阿坝县| 望谟县| 仁怀市| 凭祥市| 石阡县| 巩义市| 南昌市| 垣曲县|