SSL/TLS が有効化されたオブジェクトストレージ¶
オブジェクトストレージの証明書を組み込み MPP のトラストストアにインポートする必要があるのは、証明書が、自己署名されているか、または組み込み MPP のトラストストア内に存在しないプライベート認証機関によって署名されている場合のみです。
証明書をインポートするには、証明書を prestocluster\presto\secrets\certs
ディレクトリと prestocluster\hive-metastore\secrets\certs
ディレクトリに追加する必要があります。こうすると、証明書が組み込み MPP のトラストストア (Presto および Hive メタストア) に自動的にインポートされます。
証明書が正しくインポートされたことを確認するには、 kubectl logs <presto-coordinator pod> -c init-cacert
コマンドおよび kubectl logs <hive-metastore pod> -c init-cacert
コマンドを使用してログをチェックします。
成功した場合、メッセージは次のようになります。
Adding /opt/certs/storage.cer to keystore
Certificate was added to keystore
失敗した場合、メッセージに次のようなエラーが表示されます。
Adding /opt/certs/storage.cer to keystore
keytool error\: java.lang.Exception: Input not an X.509 certificate
証明書のインポート時にエラーが発生した場合、 kubectl get pods
を実行すると、組み込み MPP ポッドに Init:Error
や Init:CrashLoopBackOff
のようなエラー状態が表示されます。
GET PODS
NAME READY STATUS RESTARTS AGE
presto-coordinator-fdbd79df5-p77ll 0/1 Init:Error 1 (2s ago) 3s
presto-worker-76cf6864b5-gshv5 0/1 Init:Error 1 (2s ago) 3s
presto-worker-76cf6864b5-jxrxh 0/1 Init:Error 1 (2s ago) 3s
presto-coordinator-fdbd79df5-p77ll 0/1 Init:CrashLoopBackOff 1 (12s ago) 14s
presto-worker-76cf6864b5-gshv5 0/1 Init:CrashLoopBackOff 1 (12s ago) 14s
presto-worker-76cf6864b5-jxrxh 0/1 Init:CrashLoopBackOff 1 (13s ago) 15s
hive-metastore-f6f588fb-f9qrd 0/1 Init:Error 0 23s
hive-metastore-f6f588fb-f9qrd 0/1 Init:CrashLoopBackOff 1 (32s ago) 2m28s