以SmartKit方式安装OmniShuffle特性时,需要分发TLS证书以开启OmniShuffle的安全特性。分发TLS证书操作仅在管理节点上进行。出于安全考虑,安装部署完成后建议禁止root用户或运维用户远程登录,后续操作均在ockadmin用户下进行。
- 出于安全考虑,建议将各节点运维账户umask修改为077及以上。
- 如果在当前环境中执行过kmc_tool相关操作,需要在集群环境中删除kmc信号量。
1 2
ipcs ipcrm -S 0x20161316
- 配置业务流,选择,导入获取的certificate.json文件。将json文件说明中的certificate.json文件复制并保存为certificate.json文件。json文件详情请参见certificate.json。
- 更新修改后的agent_node_list文件的路径,agent_node_list修改方法请参见agent_node_list。
- 修改CA_node_list的路径。
- 配置脚本参数。
- 若服务器间未做互信,回显交互处执行命令部分都填写安装账户的密码。
- 若服务器间已经做了互信,回显交互处执行命令部分都填写1。ockadmin为ock安装时的用户名,与实际写成一致即可。
- 脚本第三个参数为ockadmin所在属组,按实际修改即可。
- sparkadmin为提交spark任务用户名,按实际修改即可。
1su - ockadmin -c 'bash $OCK_HOME/security/certificate/cert_manager.sh 运维用户 ockadmin ockadmin sparkadmin'
目前密文生成所在目录分为ock安装用户与提交spark任务用户。
- ock用户:“$OCK_HOME/security/tls/”目录。
- 提交spark任务用户:“${HOME}/huawei/ock/security/tls”目录。
- 单击“执行业务流”。
- 检查是否执行成功。
- 执行完成后生成安全所需要的文件。
- agent_node_list中的节点存在server目录“${OCK_HOME}/security/tls/server”,目录下包含如下文件。
文件
说明
server.cert.pem
节点证书文件
server.private.key.pem
节点私钥
ca.cert.pem
CA证书文件
server.keypass.key
节点私钥口令
server
├── ca.cert.pem
├── server.cert.pem
├── server.keypass.key
└── server.private.key.pem
- CA_node_list中的节点存在CACerts目录“${OCK_HOME}/security/tls/CACerts”,目录结构如下所示。
CACerts/
├── certs
│ ├── *.*.*.*.server.cert.pem
│ ├── *.*.*.*.server.cert.pem
│ ├── *.*.*.*.server.cert.pem
│ └── ca.cert.pem
├── crl
├── csr
├── index.txt
├── index.txt.attr
├── index.txt.attr.old
├── index.txt.old
├── newcerts
│ ├── 01.pem
│ ├── 02.pem
│ ├── 03.pem
├── openssl.cnf
├── private
│ └── ca.private.key.pem
├── public
│ └── ca.public.key.pem
├── serial
├── serial.old
└── server.keypass.key
- “CACerts/certs”目录下包含上述所有节点证书文件和CA证书文件,上图中表示agent_node_list中有三个节点,对应生成三个证书。
- 若agent_node_list有n个节点,“CACerts/certs”下将生成n个server.cert.pem后缀文件和1个ca.cert.pem文件。
- 出于安全目的,安装部署完成后建议禁止root用户或运维用户远程登录(请参见SSH加固),后续操作请在ockadmin用户下进行操作。
- agent_node_list中的节点存在server目录“${OCK_HOME}/security/tls/server”,目录下包含如下文件。
