TLSsertifikat untuk integrasi Apache Ranger dengan Amazon EMR - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

TLSsertifikat untuk integrasi Apache Ranger dengan Amazon EMR

Integrasi Apache Ranger dengan Amazon EMR mengharuskan lalu lintas dari EMR node Amazon ke server Admin Ranger dienkripsi menggunakanTLS, dan plugin Ranger mengautentikasi ke server Apache Ranger menggunakan otentikasi timbal balik dua arah. TLS EMRLayanan Amazon memerlukan sertifikat publik server Admin Ranger Anda (ditentukan dalam contoh sebelumnya) dan sertifikat pribadi.

Sertifikat plugin Apache Ranger

TLSSertifikat publik plugin Apache Ranger harus dapat diakses ke server Admin Apache Ranger untuk memvalidasi ketika plugin terhubung. Ada tiga metode berbeda untuk melakukan hal ini.

Metode 1: Konfigurasikan truststore di server Admin Apache Ranger

Isi konfigurasi berikut ranger-admin-site di.xml. untuk mengkonfigurasi truststore.

<property> <name>ranger.truststore.file</name> <value><LOCATION TO TRUSTSTORE></value> </property> <property> <name>ranger.truststore.password</name> <value><PASSWORD FOR TRUSTSTORE></value> </property>

Metode 2: Muat sertifikat ke Java cacerts truststore

Jika server Admin Ranger Anda tidak menentukan truststore dalam JVM opsinya, maka Anda dapat menempatkan sertifikat publik plugin di penyimpanan cacerts default.

Metode 3: Buat truststore dan tentukan sebagai bagian dari Opsi JVM

Di {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh, modifikasi JAVA_OPTS termasuk "-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>" dan "-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>". Misalnya, tambahkan baris berikut setelah JAVA _ yang adaOPTS.

JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
catatan

Spesifikasi ini dapat mengekspos kata sandi truststore jika setiap pengguna dapat masuk ke server Admin Apache Ranger dan melihat proses yang berjalan, seperti ketika menggunakan perintah ps.

Menggunakan Sertifikat Self-Signed

Sertifikat bertandatangan sendiri tidak direkomendasikan sebagai sertifikat. Sertifikat yang bertandatangan sendiri mungkin tidak dicabut, dan sertifikat yang bertandatangan sendiri mungkin tidak sesuai dengan persyaratan keamanan internal.