在亚马逊上使用SSL/TLS并LDAPS使用 Presto 进行配置 EMR

在 Amazon EMR 发行版 5.6.0 及更高版本中，您可以启用SSL/TLS以帮助保护 Presto 节点之间的内部通信。您可以为传输中加密设置安全配置以执行该操作。有关更多信息，请参阅 Amazon EMR 管理指南中的加密选项和使用安全配置设置集群安全。

当您使用带有传输中加密的安全配置时，Amazon EMR 会为 Presto 执行以下操作：

• 分发您在整个 Presto 集群中用于传输中加密的加密构件或证书。有关更多信息，请参阅为传输中的数据加密提供证书。

• 使用 presto-config 配置分类设置以下属性，该分类对应于 Presto 的 config.properties 文件：

  • false在所有节点上设置为http-server.http.enabled，则禁用，取而代HTTP之的是。HTTPS这要求您在为传输中加密设置安全配置DNS时，提供适用于公共和私人的证书。一种方法是使用支持多个域的SAN（主题备用名称）证书。

  • 设置 http-server.https.* 值。有关配置的详细信息，请参阅 Presto 文档中的LDAP身份验证。

• 对于 6.1.0 及更高EMR版本的 Presto SQL (Trino)，Amazon EMR 会自动配置共享密钥，以实现集群节点之间的安全内部通信。您无需执行任何额外的配置即可启用此安全功能，并且您可以使用自己的私有密钥覆盖配置。有关 Trino 内部身份验证的信息，请参阅 Trino 353 文档：安全的内部通信。

此外，在 Amazon EMR 发行版 5.10.0 及更高版本中，您可以使用为与 Presto 协调器的客户端连接设置LDAP身份验证。HTTPS此设置使用安全 LDAP (LDAPS)。TLS必须在您的LDAP服务器上启用，并且 Presto 集群必须使用启用传输中数据加密的安全配置。需要使用额外的配置。根据您使用的Amazon发行版本EMR，配置选项会有所不同。有关更多信息，请参阅 在亚马逊上使用 Presto 的LDAP身份验证 EMR。

亚马逊上的 Presto 默认EMR使用端口 8446 作为内部端口HTTPS。用于内部通信的端口必须与用于客户端HTTPS访问 Presto 协调器的端口相同。http-server.https.port 配置分类中的 presto-config 属性指定该端口。