TLSZertifikate - Amazon EMR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

TLSZertifikate

Die Apache Ranger-Integration mit Amazon EMR erfordert, dass der Datenverkehr von EMR Amazon-Knoten zum Ranger Admin-Server verschlüsselt wird und dass Ranger-Plug-ins sich beim Apache Ranger-Server über TLS eine wechselseitige bidirektionale Authentifizierung authentifizieren. TLS Der EMR Amazon-Service benötigt das öffentliche Zertifikat Ihres Ranger Admin-Servers (im vorherigen Beispiel angegeben) und das private Zertifikat.

Zertifikate für das Apache-Ranger-Plugin

Öffentliche TLS Zertifikate des Apache Ranger-Plug-ins müssen für den Apache Ranger Admin-Server zugänglich sein, um zu überprüfen, ob die Plugins eine Verbindung herstellen. Es gibt drei verschiedene Methoden, dies zu tun.

Methode 1: Konfigurieren Sie einen Truststore auf dem Apache-Ranger-Admin-Server

Füllen Sie die folgenden Konfigurationen in ranger-admin-site .xml aus, um einen Truststore zu konfigurieren.

<property>
    <name>ranger.truststore.file</name>
    <value><LOCATION TO TRUSTSTORE></value>
</property>

<property>
    <name>ranger.truststore.password</name>
    <value><PASSWORD FOR TRUSTSTORE></value>
</property>

Methode 2: Laden Sie das Zertifikat in den Truststore von Java cacerts

Wenn Ihr Ranger Admin-Server in seinen JVM Optionen keinen Truststore angibt, können Sie die öffentlichen Zertifikate des Plug-ins im standardmäßigen Cacerts-Speicher ablegen.

Methode 3: Erstellen Sie einen Truststore und geben Sie ihn als Teil der Optionen an JVM

Ändern Sie die {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh innerhalb von JAVA_OPTS, dass sie "-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>" und "-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>" einschließt. Fügen Sie beispielsweise die folgende Zeile nach dem vorhandenen JAVA _ OPTS hinzu.

JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
Anmerkung

Diese Spezifikation kann das Truststore-Passwort offenlegen, wenn sich ein Benutzer beim Apache- Ranger Admin-Server anmelden und laufende Prozesse sehen kann, z. B. wenn er den ps-Befehl verwendet.

Verwenden selbstsignierter Zertifikate

Selbstsignierte Zertifikate werden als Zertifikate nicht empfohlen. Selbstsignierte Zertifikate können nicht gesperrt werden, und selbstsignierte Zertifikate entsprechen möglicherweise nicht den internen Sicherheitsanforderungen.