TLS/SSL

BDDは、TLS/SSLで保護されたHadoopクラスタにインストールできます。

TLS/SSLは、特定のHadoopサービスに対して、それらの間の通信を暗号化するために構成できます。それをHadoopで有効にする場合は、それをBDDに対して、Hadoopクラスタとのその通信を暗号化するために有効にできます。

HadoopクラスタでTLS/SSLが有効になっている場合は、システムが次の要件を満たしていることを確認してください。
  • KerberosがHadoopとBDDの両方で有効になっている。これは必須ではありませんが強く推奨されていることを覚えておいてください。詳細は、Kerberosを参照してください。
  • TLS/SSLが、HDFS、YARN、Hiveおよび/またはKey Management Server (KMS)サービスのためにHadoopクラスタで有効になっている。
  • KMSサービスがHadoopクラスタにインストールされている。TLS/SSLの有効化の一部としてこれをすでに実行してある必要があります。

TLS/SSLで保護されたHadoopクラスタ上でBDDを実行できるようにするには、次の手順を実行します。

  1. TLS/SSLが有効になっているHDFS、YARN、Hiveおよび/またはKMSが実行されているすべてのノードのために公開鍵証明書をエクスポートします。
    これは、次のコマンドで実行できます。
    keytool -exportcert -alias <alias> -keystore <keystore_filename> -file <export_filename>
    説明:
    • <alias>は、証明書の別名です。
    • <keystore_filename>は、キーストア・ファイルへの絶対パスです。これは、Cloudera Manager、AmbariまたはMCSにあります。
    • <export_filename>は、キーストアをエクスポートするファイルの名前です。
  2. エクスポートされた証明書をインストール・マシン上の1つのディレクトリにコピーします。
    このディレクトリの場所は任意です。これは、インストールする前にBDDの構成ファイル内で定義します。このディレクトリは証明書を更新する必要がある場合に使用するため、インストール後に削除しないでください。
  3. $JAVA_HOME/jre/lib/security/cacertsのパスワードがデフォルトのchangeitに設定されていることを確認します。
    これは、インストーラで必要となります。それを変更した場合は、必ずデフォルトに戻してください。
インストーラの実行時に、証明書がカスタム・トラストストア・ファイルにインポートされてから、そのトラストストアがすべてのBDDノード上の$BDD_HOME/common/security/cacertsにコピーされます。