Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
TLSsertifikat untuk integrasi Apache Ranger dengan Amazon EMR
Integrasi Apache Ranger dengan Amazon EMR mengharuskan lalu lintas dari EMR node Amazon ke server Admin Ranger dienkripsi menggunakanTLS, dan plugin Ranger mengautentikasi ke server Apache Ranger menggunakan otentikasi timbal balik dua arah. TLS EMRLayanan Amazon memerlukan sertifikat publik server Admin Ranger Anda (ditentukan dalam contoh sebelumnya) dan sertifikat pribadi.
Sertifikat plugin Apache Ranger
TLSSertifikat publik plugin Apache Ranger harus dapat diakses ke server Admin Apache Ranger untuk memvalidasi ketika plugin terhubung. Ada tiga metode berbeda untuk melakukan hal ini.
Metode 1: Konfigurasikan truststore di server Admin Apache Ranger
Isi konfigurasi berikut ranger-admin-site di.xml. untuk mengkonfigurasi truststore.
<property> <name>ranger.truststore.file</name> <value>
<LOCATION TO TRUSTSTORE>
</value> </property> <property> <name>ranger.truststore.password</name> <value><PASSWORD FOR TRUSTSTORE>
</value> </property>
Metode 2: Muat sertifikat ke Java cacerts truststore
Jika server Admin Ranger Anda tidak menentukan truststore dalam JVM opsinya, maka Anda dapat menempatkan sertifikat publik plugin di penyimpanan cacerts default.
Metode 3: Buat truststore dan tentukan sebagai bagian dari Opsi JVM
Di {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh
, modifikasi JAVA_OPTS
termasuk "-Djavax.net.ssl.trustStore=
dan <TRUSTSTORE_LOCATION>
""-Djavax.net.ssl.trustStorePassword=
. Misalnya, tambahkan baris berikut setelah JAVA _ yang adaOPTS.<TRUSTSTORE_PASSWORD>
"
JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
catatan
Spesifikasi ini dapat mengekspos kata sandi truststore jika setiap pengguna dapat masuk ke server Admin Apache Ranger dan melihat proses yang berjalan, seperti ketika menggunakan perintah ps
.
Menggunakan Sertifikat Self-Signed
Sertifikat bertandatangan sendiri tidak direkomendasikan sebagai sertifikat. Sertifikat yang bertandatangan sendiri mungkin tidak dicabut, dan sertifikat yang bertandatangan sendiri mungkin tidak sesuai dengan persyaratan keamanan internal.