Enkripsi dalam transit dalam 2 HiveServer - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi dalam transit dalam 2 HiveServer

Dimulai dengan rilis Amazon EMR 6.9.0, HiveServer 2 (HS2) diaktifkan TLS/SSL sebagai bagian dari konfigurasi keamanan. Enkripsi dalam transit dalam 2 HiveServer Ini memengaruhi cara Anda terhubung untuk HS2 berjalan di kluster EMR Amazon dengan enkripsi dalam transit diaktifkan. Untuk terhubung HS2, Anda harus memodifikasi nilai TRUSTSTORE_PATH dan TRUSTSTORE_PASSWORD parameter di URL JDBC. URL berikut adalah contoh koneksi JDBC untuk HS2 dengan parameter yang diperlukan: 

jdbc:hive2://HOST_NAME:10000/default;ssl=true;sslTrustStore=TRUSTSTORE_PATH;trustStorePassword=TRUSTSTORE_PASSWORD

Gunakan instusi yang sesuai untuk enkripsi on-cluster atau off-cluster HiveServer 2 di bawah ini.

On-cluster HS2 access

Jika Anda mengakses HiveServer 2 menggunakan klien Beeline setelah Anda SSH ke node utama, maka referensi /etc/hadoop/conf/ssl-server.xml untuk menemukan dan nilai TRUSTSTORE_PASSWORD parameter menggunakan konfigurasi TRUSTSTORE_PATH dan. ssl.server.truststore.location ssl.server.truststore.password

Contoh perintah berikut dapat membantu Anda mengambil konfigurasi ini:

TRUSTSTORE_PATH=$(sed -n '/ssl.server.truststore.location/,+2p' /etc/hadoop/conf/ssl-server.xml | awk -F "[><]" '/value/{print $3}')
TRUSTSTORE_PASSWORD=$(sed -n '/ssl.server.truststore.password/,+2p' /etc/hadoop/conf/ssl-server.xml | awk -F "[><]" '/value/{print $3}')
Off-cluster HS2 access

Jika Anda mengakses HiveServer 2 dari klien di luar kluster EMR Amazon. Anda dapat menggunakan salah satu pendekatan berikut untuk mendapatkan dan: TRUSTSTORE_PATH TRUSTSTORE_PASSWORD

  • Konversi file PEM yang dibuat selama konfigurasi keamanan ke file JKS dan gunakan yang sama di URL koneksi JDBC. Misalnya, dengan openssl dan keytool, gunakan perintah berikut:

    openssl pkcs12 -export -in trustedCertificates.pem -inkey privateKey.pem -out trustedCertificates.p12 -name "certificate"
keytool -importkeystore -srckeystore trustedCertificates.p12 -srcstoretype pkcs12 -destkeystore trustedCertificates.jks

  • Atau, referensi /etc/hadoop/conf/ssl-server.xml untuk menemukan TRUSTSTORE_PATH dan nilai TRUSTSTORE_PASSWORD parameter menggunakan konfigurasi ssl.server.truststore.location danssl.server.truststore.password. Unduh file truststore ke mesin klien dan gunakan jalur pada mesin klien sebagai file. TRUSTSTORE_PATH

    Untuk informasi selengkapnya tentang mengakses aplikasi dari klien di luar klaster EMR Amazon, lihat Menggunakan driver Hive JDBC.