mirror of
https://github.com/ClickHouse/ClickHouse.git
synced 2024-12-15 19:02:04 +00:00
2.3 KiB
2.3 KiB
slug | sidebar_position | sidebar_label |
---|---|---|
/ja/operations/ssl-zookeeper | 45 | Zookeeperとの安全な通信 |
ClickHouseとZookeeper間のオプションの安全な通信
import SelfManaged from '@site/docs/ja/_snippets/_self_managed_only_automated.md';
ClickHouse クライアントとのSSL通信用に ssl.keyStore.location
、ssl.keyStore.password
、ssl.trustStore.location
、ssl.trustStore.password
を指定する必要があります。これらのオプションはZookeeperバージョン3.5.2から利用可能です。
zookeeper.crt
を信頼された証明書に追加できます。
sudo cp zookeeper.crt /usr/local/share/ca-certificates/zookeeper.crt
sudo update-ca-certificates
config.xml
のクライアントセクションは以下のようになります:
<client>
<certificateFile>/etc/clickhouse-server/client.crt</certificateFile>
<privateKeyFile>/etc/clickhouse-server/client.key</privateKeyFile>
<loadDefaultCAFile>true</loadDefaultCAFile>
<cacheSessions>true</cacheSessions>
<disableProtocols>sslv2,sslv3</disableProtocols>
<preferServerCiphers>true</preferServerCiphers>
<invalidCertificateHandler>
<name>RejectCertificateHandler</name>
</invalidCertificateHandler>
</client>
ClickHouseの設定にZookeeperを、いくつかのクラスタとマクロと共に追加します:
<clickhouse>
<zookeeper>
<node>
<host>localhost</host>
<port>2281</port>
<secure>1</secure>
</node>
</zookeeper>
</clickhouse>
clickhouse-server
を起動します。ログには以下のように出力されるはずです:
<Trace> ZooKeeper: initialized, hosts: secure://localhost:2281
プレフィックス secure://
は接続がSSLで保護されていることを示しています。
トラフィックが暗号化されていることを確認するために、セキュアポートでtcpdump
を実行します:
tcpdump -i any dst port 2281 -nnXS
clickhouse-client
でクエリを実行します:
SELECT * FROM system.zookeeper WHERE path = '/';
暗号化されていない接続では、tcpdump
の出力に次のようなものが表示されます:
..../zookeeper/quota.
暗号化された接続ではこれが表示されません。