TLScertificados para integração do Apache Ranger com a Amazon EMR - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

TLScertificados para integração do Apache Ranger com a Amazon EMR

A integração do Apache Ranger com a Amazon EMR exige que o tráfego EMR dos nós da Amazon para o servidor Ranger Admin seja criptografado usandoTLS, e que os plug-ins do Ranger sejam autenticados no servidor Apache Ranger usando autenticação mútua bidirecional. TLS O EMR serviço Amazon precisa do certificado público do seu servidor Ranger Admin (especificado no exemplo anterior) e do certificado privado.

Certificados de plug-in do Apache Ranger

TLSOs certificados públicos do plug-in Apache Ranger devem estar acessíveis ao servidor Apache Ranger Admin para validar quando os plug-ins se conectam. Há três métodos diferentes para isso.

Método 1: configurar um armazenamento confiável no servidor Apache Ranger Admin

Preencha as seguintes configurações em ranger-admin-site .xml para configurar um armazenamento confiável.

<property>
    <name>ranger.truststore.file</name>
    <value><LOCATION TO TRUSTSTORE></value>
</property>

<property>
    <name>ranger.truststore.password</name>
    <value><PASSWORD FOR TRUSTSTORE></value>
</property>

Método 2: carregar o certificado no Java cacerts truststore

Se o seu servidor Ranger Admin não especificar um armazenamento confiável em suas JVM opções, você poderá colocar os certificados públicos do plug-in no armazenamento cacerts padrão.

Método 3: Criar um armazenamento confiável e especificar como parte das Opções JVM

Em {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh, modifique JAVA_OPTS para incluir "-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>" e "-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>". Por exemplo, adicione a linha a seguir após o JAVA _ existenteOPTS.

JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
nota

Essa especificação pode expor a senha do truststore se algum usuário conseguir fazer login no servidor Apache Ranger Admin e ver os processos em execução, como ao usar o comando ps.

Usar certificados autoassinados

Não é recomendável usar certificados autoassinados como certificados. Os certificados autoassinados não podem ser revogados e podem não estar em conformidade com os requisitos internos de segurança.