更新时间:2024-11-29 GMT+08:00
配置ZooKeeper SSL
操作场景
默认情况下,ZooKeeper客户端与服务端之间、服务端各实例之间默认未开启SSL通道加密传输,本章节指导用户开启ZooKeeper通道加密传输。
对系统的影响
- ZooKeeper服务端开启SSL通道加密传输后,将导致一定程度的性能下降。
- ZooKeeper服务端开启SSL通道加密传输,需重启ZooKeeper组件以及上层依赖组件,期间将导致服务不可用。
- ZooKeeper服务端开启SSL通道加密传输,需重新下载客户端。
- ZooKeeper配置开启SSL通道加密传输,不支持滚动重启。
- Guardian服务不支持配置ZooKeeper开启SSL。
操作步骤
- 登录FusionInsight Manager,选择“集群 > 服务 > ZooKeeper > 配置 > 全部配置”,进入全部配置页面。
- 在搜索框中输入参数名称,按照下表进行修改。
表1 安全配置项 配置项
描述
默认值
修改值
ssl.enabled
是否启用SSL通信加密。
false
true
- 修改完成后单击“保存”,并单击“确定”。
- 选择“集群 > 服务 > ZooKeeper”,在ZooKeeper服务页面选项“更多 > 重启服务”,输入密码进行验证后,在“重启服务”页面确认操作影响。
可以勾选“同时重启上层服务。”一次性重启所有影响组件,期间将导致影响服务不可用,谨慎使用。
- 单击“确定”,等待服务重启成功。
- 选择“集群 > 主备集群容灾”,查看当前集群是否配置了主备容灾。
- 是,执行7。
- 否,操作结束。
- 主集群与容灾集群内ZooKeeper服务的“ssl.enabled”配置需保持一致,请参考以上步骤继续修改未操作集群内的“ssl.enabled”参数。
- 使用root用户登录主集群的主OMS节点,执行如下命令重启容灾管理进程:
su - omm
${BIGDATA_HOME}/om-server/om/share/om/disaster/sbin/restart-disaster.sh
出现如下提示,则表示执行成功:
... disaster start with process id : 23256 End into restart-disaster.sh
- 使用root用户登录容灾集群的主OMS节点,执行如下命令重启容灾管理进程:
su - omm
${BIGDATA_HOME}/om-server/om/share/om/disaster/sbin/restart-disaster.sh
- (可选)若集群使用Flink相关服务,需使用root用户登录安装了Flink客户端的节点,执行以下命令适配Flink配置文件。
cd 客户端安装目录/client/Flink/flink/conf
vim flink-conf.yaml
在参数“env.java.opts”末尾添加如下参数并保存:
-Dzookeeper.clientCnxnSocket=ClientCnxnSocketNetty -Dzookeeper.client.secure=true
- (可选)若集群使用HetuEngine相关服务,需登录Manager,重启HSBroker,然后登录HetuEngine WebUI重启所有计算实例。
父主题: 安全加固
