SSL/TLS¶
Denodo 組み込み MPP には、自己署名証明書 certs/certificate.crt
が含まれる Java キーストア presto/secrets/presto.jks
が付属しています。この自己署名証明書は、 テスト目的でのみ 配布されています。
この自己署名証明書は、Denodo 組み込み MPP のホスト名として presto-denodo
を受け入れます。したがって、Denodo サーバーが動作しているマシンで、 kubectl get svc
を実行した後に hosts
ファイルに presto-denodo
のエントリを Presto サービスの EXTERNAL-IP
の値を使用して追加する必要があります。
kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP
hive-metastore ClusterIP 172.20.x.x <none>
postgresql CLusterIP 172.20.x.x <none>
presto LoadBalancer 172.20.x.x xx.xx.xx.xx
xx.xx.xx.xx presto-denodo
本番環境では、Java キーストア``presto/secrets/presto.jks`` にある実際の証明書ではなく、認証局 (CA) またはプライベート証明機関から発行された証明書を使用することを強くお勧めします。キーストアを作成する方法については、「 証明機関 (CA) への証明書要求の送信、およびその応答によるキーストアの作成 」を参照してください。
新しい Java キーストアを作成したら、それを presto/secrets
に配置します。デフォルトファイル名は presto.jks
、そのデフォルトパスワードは sslpassphrase
ですが、それらを変更する場合は presto/conf/config.properties.coordinator
ファイルで以下のプロパティを編集する必要があります。
http-server.https.keystore.key=sslpassphrase
http-server.https.keystore.path=/opt/secrets/presto.jks
最後に、Denodo 組み込み MPP が使用する証明書がプライベート証明機関によって署名されているか、または自己署名されている場合、Denodo サーバーのトラストストアに この証明書をインポート する必要があることを考慮してください。
<DENODO_HOME>/jre/bin/keytool -importcert -alias denodo-mpp \
-file <DENODO_MPP_HOME>/certs/certificate.crt \
-cacerts -storepass "changeit" -noprompt