本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
TLSApache Ranger 与亚马逊集成的证书 EMR
Apache Ranger 与亚马逊的集成EMR要求使用对从亚马逊EMR节点到 Ranger 管理服务器的流量进行加密TLS,并且 Ranger 插件使用双向相互身份验证向 Apache Ranger 服务器进行身份验证。TLSAmazon EMR 服务需要您的 Ranger 管理服务器的公共证书(在前面的示例中指定)和私有证书。
Apache Ranger 插件证书
Apache Ranger 插件的公共TLS证书必须可以访问 Apache Ranger 管理服务器才能验证插件何时连接。执行此操作共有三种方式。
方法 1: 在 Apache Ranger Admin 服务器中配置信任库
在 ranger-admin-site .xml 中填写以下配置以配置信任库。
<property> <name>ranger.truststore.file</name> <value><LOCATION TO TRUSTSTORE></value> </property> <property> <name>ranger.truststore.password</name> <value><PASSWORD FOR TRUSTSTORE></value> </property>
方法 2: 将证书加载到 Java cacerts 信任库
如果你的 Ranger Admin 服务器没有在其JVM选项中指定信任库,那么你可以将插件的公共证书放在默认 cacerts 存储中。
方法 3:创建信任库并指定为选项的一部分 JVM
在 {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh 中,修改 JAVA_OPTS,使其包含 "-Djavax.net.ssl.trustStore= 和 <TRUSTSTORE_LOCATION>""-Djavax.net.ssl.trustStorePassword=。例如,在现有的 JAVA _ 之后添加以下行OPTS。<TRUSTSTORE_PASSWORD>"
JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
注意
如果任何用户能够登录 Apache Ranger Admin 服务器并查看正在运行的进程,例如使用 ps 命令时,此规范可能会公开信任库密码。
使用自签名证书
不建议使用自签名凭证作为凭证。自签名凭证不得撤销,自签名凭证可能不符合内部安全要求。
