現(xiàn)有CDP-DC集群怎么啟用Auto-TLS

發(fā)布時(shí)間：2022-01-04 10:54:09 來源：億速云閱讀：176 作者：柒染欄目：大數(shù)據(jù)

這篇文章給大家介紹現(xiàn)有CDP-DC集群怎么啟用Auto-TLS，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

文檔編寫目的

下面主要介紹如何在現(xiàn)有的 CDP-DC 集群上啟用 TLS 。

內(nèi)容概述

1) TLS概述

2) Level-0：基礎(chǔ)TLS/SSL配置（在CM server主機(jī)上進(jìn)行）

3) Level-1：為集群?jiǎn)⒂眉用?/section>

測(cè)試環(huán)境

1) CM和Cloudera Runtime版本為7.1.1

2) Redhat7.7

3) 擁有Cloudera Manager的管理員賬號(hào)

4) 集群未啟用Kerberos和LDAP認(rèn)證

TLS概述

背景

部署了Kerberos之后，CM會(huì)提示有安全隱患，至少需要一級(jí)TLS加密。

介紹

傳輸層安全性（ TLS ）在 ClouderaManager 服務(wù)器和代理之間的通信中提供加密和身份驗(yàn)證。加密可防止通信偵聽，并且身份驗(yàn)證有助于防止惡意服務(wù)器或代理在群集中引起問題。 Cloudera Manager 支持三種級(jí)別的 TLS 安全性，三種必須逐級(jí)配置。

級(jí)別1（好） - 此級(jí)別僅配置瀏覽器和ClouderaManager之間以及代理和ClouderaManager服務(wù)器之間的加密通信。請(qǐng)參閱僅為Cloudera Manager配置TLS加密，然后按照級(jí)別1：為Cloudera Manager代理配置TLS加密，以獲取說明。 1級(jí)加密可以防止對(duì)代理和Cloudera Manager之間的通信進(jìn)行窺探。
級(jí)別2（更好） - 此級(jí)別包括代理和服務(wù)器之間的加密通信，以及代理對(duì)Cloudera Manager服務(wù)器證書的強(qiáng)大驗(yàn)證。請(qǐng)參閱第2級(jí)：由代理配置ClouderaManager服務(wù)器的TLS驗(yàn)證。級(jí)別2通過驗(yàn)證由Cloudera Manager服務(wù)器提供的證書的信任，為代理提供額外的安全級(jí)別。
級(jí)別3（最佳） - 代理和服務(wù)器之間的加密通信。3級(jí)TLS包括代理和服務(wù)器之間的加密通信，由代理對(duì)Cloudera Manager服務(wù)器證書進(jìn)行強(qiáng)大的驗(yàn)證，并使用自簽名或CA簽名的證書將代理驗(yàn)證到Cloudera Manager服務(wù)器。請(qǐng)參閱第3級(jí)：將代理的TLS驗(yàn)證配置到Cloudera Manager服務(wù)器。級(jí)別3解決了不受信任的網(wǎng)絡(luò)場(chǎng)景，您需要防止群集服務(wù)器被主機(jī)上運(yùn)行的不受信任的代理人欺騙。 Cloudera建議您在啟用Kerberos身份驗(yàn)證之前，為不受信任的網(wǎng)絡(luò)環(huán)境配置3級(jí)TLS加密。這提供了Cloudera Manager服務(wù)器和集群中經(jīng)過驗(yàn)證的代理之間的keytab的安全通信。

Cloudera 強(qiáng)烈建議您在開始配置 Cloudera Manager 服務(wù)器和代理使用 TLS 之前，設(shè)置完整功能的 CDH 群集和 Cloudera Manager 。 Cloudera Manager 將繼續(xù)接收端口 7180 上的 HTTP 請(qǐng)求（默認(rèn)值），但一旦啟用 TLS ，它將立即將客戶端重定向到端口 7183 以進(jìn)行 HTTPS 連接。

一旦配置了 3 級(jí) TLS ，如果要添加運(yùn)行代理的新主機(jī)，則必須手動(dòng)部署適用于您的平臺(tái)的 ClouderaManager 代理和守護(hù)程序軟件包，為主機(jī)發(fā)出新的證書，配置 / etc / cloudera - scm -agent/config.ini 使用 SSL / TLS ，然后使主機(jī)聯(lián)機(jī)。相反，您可以禁用 TLS 添加主機(jī)，配置 TLS 的新主機(jī)，然后重新啟用適當(dāng)?shù)呐渲?。任何一種方法都是有效的，根據(jù)您的需要。

對(duì)于運(yùn)行代理的所有主機(jī)， Cloudera 建議您首先使用 Java 創(chuàng)建密鑰庫(kù)，然后使用 openSSL 導(dǎo)出密鑰和證書以供代理或色相使用。

工具概述

Java Keytool和OpenSSL是密鑰管理工具，可讓您創(chuàng)建TLS / SSL所需的安全工件。除了下面的兩個(gè)簡(jiǎn)短概述之外，有關(guān)更多信息，請(qǐng)參見 “ 如何為 TLS / SSL 證書和密鑰轉(zhuǎn)換文件編碼（ DER ， JKS ， PEM ） ”。

Java Keytool

Oracle Java keytool是Oracle JDK附帶的實(shí)用程序，用于創(chuàng)建和管理加密密鑰和證書。在針對(duì)Cloudera Manager集群配置TLS / SSL的過程中，您將創(chuàng)建私有密鑰對(duì)、密鑰庫(kù)、證書簽名請(qǐng)求，并使用此軟件工具創(chuàng)建供集群特定使用的信任庫(kù)，如本指南中各個(gè)步驟所述。

Cloudera Manager TLS / SSL配置的Java Keytool要求

對(duì)于使用Java Keytool的任何步驟，請(qǐng)確保：

? 使用Oracle Java keytool而非OpenJDK之類的工具。

? 使用從Oracle下載的JDK或Cloudera Manager服務(wù)器主機(jī)上此默認(rèn)路徑中的Cloudera提供的Oracle JDK：

/usr/java/jdk1.8.0_232-cloudera/bin/jre/lib/security

? 所有步驟均使用相同版本的Java keytool。如果主機(jī)上安裝了多個(gè)JDK，請(qǐng)?jiān)O(shè)置PATH 變量，以便首先調(diào)用Oracle JDK，如本例所示：

export JAVA_HOME=/usr/java/jdk1.8.0_232-cloudera

export PATH=$JAVA_HOME/bin:$PATH

? 在任何調(diào)用-keypass 和-storepass兩個(gè)選項(xiàng)的命令中，請(qǐng)使用和相同的密碼。Cloudera Manager要求密鑰及其密鑰庫(kù)使用相同的密碼。

OpenSSL

OpenSSL是一種開放源代碼加密和TLS / SSL工具包，自1999年成立以來已被廣泛使用。與Java Keytool一樣，OpenSSL允許您創(chuàng)建私鑰，證書請(qǐng)求和密鑰庫(kù)，并提供用于驗(yàn)證證書的選項(xiàng)。

在RPC客戶端和服務(wù)器通信期間，Cloudera Manager Agent主機(jī)充當(dāng)Cloudera Manager Server主機(jī)的客戶端。代理主機(jī)、Hue、Impala和其他基于Python的服務(wù)需要PEM格式的密鑰和證書（PKCS＃8），這就是為什么以下步驟包括使用此工具轉(zhuǎn)換一些JKS工件的原因。有關(guān)更多信息，請(qǐng)參見“如何為TLS / SSL證書和密鑰轉(zhuǎn)換文件編碼（DER，JKS，PEM）”。

如何將自簽名證書用于TLS

自簽名證書不應(yīng)用于生產(chǎn)部署。自簽名證書將在密鑰生成過程中創(chuàng)建并存儲(chǔ)在指定的密鑰庫(kù)中，并且應(yīng)替換為已簽名證書。使用自簽名證書要求生成和分發(fā)證書，并為證書建立顯式信任。

但是，使用自簽名證書可以輕松獲取用于TLS / SSL配置的證書，并且可能適用于非生產(chǎn)或測(cè)試設(shè)置。有關(guān)更多信息，請(qǐng)參閱為手動(dòng)配置加密。

在下面的命令中為您的系統(tǒng)替換路徑，文件名，別名和其他示例。

1) 創(chuàng)建證書目錄：

mkdir -p /opt/cloudera/security/x509/ /opt/cloudera/security/jks/

向Cloudera Manager授予對(duì)目錄的訪問權(quán)限，設(shè)置正確的權(quán)限，然后更改為目錄：

sudo chown -R cloudera-scm:cloudera-scm /opt/cloudera/security/jkssudo umask 0700cd /opt/cloudera/security/jks

2) 生成密鑰對(duì)和自簽名證書，并使用與密鑰庫(kù)和storepass相同的密碼將所有內(nèi)容存儲(chǔ)在密鑰庫(kù)中，如下所示。將當(dāng)前主機(jī)的FQDN用于CN，以避免引發(fā) java.io.IOException : HTTPS hostname wrong 異常。用適合您的環(huán)境的條目替換OU，O，L，ST和C的值：

keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname "cn=cm01.example.com, ou=Department,o=Company, l=City, st=State, c=US" -keypass password -keystore example.jks -storepass password

[root@ip-10-0-0-168 jks]# keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname "cn=ap-southeast-1.compute.internal, ou=ipausers,> o=Cloudera, l=Shanghai, st=Shanghai, c=CN" -keypass cloudera -keystore example.jks -storepass cloudera
Warning:The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12".[root@ip-10-0-0-168 jks]#

3) 將默認(rèn)的Java信任庫(kù)（ cacerts ）復(fù)制到備用系統(tǒng)信任庫(kù)（ jssecacerts ）：

export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdksource /etc/profilesudo cp $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/jssecacerts

4) 從密鑰庫(kù)（ example.jks ）導(dǎo)出證書。

keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cer

[root@ip-10-0-0-168 jks]# keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cerEnter keystore password:  Certificate stored in file <selfsigned.cer>
Warning:The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12".[root@ip-10-0-0-168 jks]#

5) 將自簽名證書（ selfsigned.cer ）復(fù)制到 /opt/ cloudera /security/x509/ 目錄中。

cp selfsigned.cer /opt/cloudera/security/x509/cmhost.pem

6) 將公共密鑰導(dǎo)入備用系統(tǒng)信任庫(kù)（ jssecacerts ），以便在此計(jì)算機(jī)上使用Java運(yùn)行的任何進(jìn)程都將信任該密鑰。Java信任庫(kù)的默認(rèn)密碼為 changeit 。不要使用在步驟2中為密鑰庫(kù)創(chuàng)建的密碼。

$ keytool -import -alias cmhost -file /opt/cloudera/security/jks/selfsigned.cer-keystore $JAVA_HOME/jre/lib/security/jssecacerts -storepass changeit
[root@ip-10-0-0-168 jks]# keytool -import -alias cmhost -file /opt/cloudera/security/jks/selfsigned.cerEnter keystore password:  Re-enter new password:Owner: CN=ap-southeast-1.compute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CNIssuer: CN=ap-southeast-1.compute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CNSerial number: 33f6581eValid from: Sun Jul 19 06:07:24 UTC 2020 until: Sat Oct 17 06:07:24 UTC 2020Certificate fingerprints:     MD5:  41:C5:94:8B:32:D2:95:67:1D:A2:12:75:6E:05:22:E0     SHA1: 8B:BE:F7:7F:75:A0:9B:55:0E:A7:6C:6E:2D:CD:32:CB:79:41:9C:EF     SHA256: 54:ED:FE:C2:FA:89:27:DC:3B:06:27:5C:EA:FB:93:2A:8B:A4:6B:27:4A:6E:13:DF:36:DB:76:E9:DE:33:10:55Signature algorithm name: SHA256withRSASubject Public Key Algorithm: 2048-bit RSA keyVersion: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=falseSubjectKeyIdentifier [KeyIdentifier [0000: 6F C9 8E D3 60 A8 EA 33   BB 44 01 C8 34 5C 14 B1  o...`..3.D..4..0010: E9 CF 6D 1C                                       ..m.]]
Trust this certificate? [no]:  yesCertificate was added to keystore[root@ip-10-0-0-168 jks]#

重要

在群集中的每個(gè)主機(jī)上重復(fù)此過程。

7) 重命名密鑰庫(kù)：

mv /opt/cloudera/security/jks/example.jks /opt/cloudera/security/jks/cmhost-keystore.jks

8) 您還可以刪除證書，因?yàn)樗言诓襟E5中復(fù)制到相應(yīng)的路徑。

rm /opt/cloudera/security/jks/selfsigned.cer

9) 自簽名證書設(shè)置完成。

CM配置更新

通過CM管理主頁(yè)面->管理->安全

點(diǎn)擊Enable Auto-TLS，進(jìn)入Auto-TLS的配置頁(yè)面

填寫配置信息

點(diǎn)擊下一步：

按照提示，登陸到Cloudera-Manager server的服務(wù)器上，然后重啟Cloudera Manager Server服務(wù)。

systemctl restart cloudera-scm-server

待CM Server的服務(wù)重啟后，繼續(xù)使用原來的登陸端口登陸，瀏覽器會(huì)自動(dòng)跳轉(zhuǎn)到7183端口。

點(diǎn)擊高級(jí)

點(diǎn)擊繼續(xù)前往…鏈接，進(jìn)入到CM的主頁(yè)面

從主頁(yè)面可以看到，有很多過期配置。點(diǎn)擊過期配置需要重啟按鈕，進(jìn)行服務(wù)重啟（集群和CMS服務(wù)都需要重啟）

如果有更新TLS Certificates信息，則點(diǎn)擊Rotate TLS Certificates

通過Auto-TLS,可以簡(jiǎn)單的啟動(dòng)整個(gè)集群的TLS，減少了手工配置的復(fù)雜度。

關(guān)于現(xiàn)有CDP-DC集群怎么啟用Auto-TLS就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

現(xiàn)有CDP-DC集群怎么啟用Auto-TLS

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽