EN
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
鲲鹏小智

分发TLS证书

以SmartKit方式安装OmniShuffle特性时,需要分发TLS证书以开启OmniShuffle的安全特性。分发TLS证书操作仅在管理节点上进行。出于安全考虑,安装部署完成后建议禁止root用户或运维用户远程登录,后续操作均在ockadmin用户下进行。

  • 出于安全考虑,建议将各节点运维账户umask修改为077及以上。
  • 如果在当前环境中执行过kmc_tool相关操作,需要在集群环境中删除kmc信号量。
    1
    2
    ipcs
    ipcrm -S 0x20161316
    
  1. 配置业务流,选择执行命令,导入获取的certificate.json文件。将json文件说明中的certificate.json文件复制并保存为certificate.json文件。json文件详情请参见certificate.json

  2. 更新修改后的agent_node_list文件的路径,agent_node_list修改方法请参见agent_node_list
    1. 修改本地路径为当前的配置文件路径。
    2. 修改文件放置的远端路径为安装目录下的路径。

  3. 修改CA_node_list的路径。
    1. 修改本地路径为当前的配置文件路径。
    2. 修改文件放置的远端路径为安装目录下的路径。

  4. 配置脚本参数。
    • 若服务器间未做互信,回显交互处执行命令部分都填写安装账户的密码。
    • 若服务器间已经做了互信,回显交互处执行命令部分都填写1。ockadmin为ock安装时的用户名,与实际写成一致即可。
    • 脚本第三个参数为ockadmin所在属组,按实际修改即可。
    • sparkadmin为提交spark任务用户名,按实际修改即可。
      1
      su - ockadmin -c 'bash $OCK_HOME/security/certificate/cert_manager.sh 运维用户 ockadmin ockadmin sparkadmin'
      

      目前密文生成所在目录分为ock安装用户与提交spark任务用户。

      • ock用户:“$OCK_HOME/security/tls/”目录。
      • 提交spark任务用户:“${HOME}/huawei/ock/security/tls”目录。

  5. 单击“执行业务流”

  6. 检查是否执行成功。

  7. 执行完成后生成安全所需要的文件。
    • agent_node_list中的节点存在server目录“${OCK_HOME}/security/tls/server”,目录下包含如下文件。

      文件

      说明

      server.cert.pem

      节点证书文件

      server.private.key.pem

      节点私钥

      ca.cert.pem

      CA证书文件

      server.keypass.key

      节点私钥口令

      server

      ├── ca.cert.pem

      ├── server.cert.pem

      ├── server.keypass.key

      └── server.private.key.pem

    • CA_node_list中的节点存在CACerts目录“${OCK_HOME}/security/tls/CACerts”,目录结构如下所示。

      CACerts/

      ├── certs

      │ ├── *.*.*.*.server.cert.pem

      │ ├── *.*.*.*.server.cert.pem

      │ ├── *.*.*.*.server.cert.pem

      │ └── ca.cert.pem

      ├── crl

      ├── csr

      ├── index.txt

      ├── index.txt.attr

      ├── index.txt.attr.old

      ├── index.txt.old

      ├── newcerts

      │ ├── 01.pem

      │ ├── 02.pem

      │ ├── 03.pem

      ├── openssl.cnf

      ├── private

      │ └── ca.private.key.pem

      ├── public

      │ └── ca.public.key.pem

      ├── serial

      ├── serial.old

      └── server.keypass.key

    • “CACerts/certs”目录下包含上述所有节点证书文件和CA证书文件,上图中表示agent_node_list中有三个节点,对应生成三个证书。
    • 若agent_node_list有n个节点,“CACerts/certs”下将生成n个server.cert.pem后缀文件和1个ca.cert.pem文件。
    • 出于安全目的,安装部署完成后建议禁止root用户或运维用户远程登录(请参见SSH加固),后续操作请在ockadmin用户下进行操作。
搜索结果
找到“0”个结果

当前产品无相关内容

未找到相关内容,请尝试其他搜索词