SSL-Zugriff konfigurieren

Je nach der von Ihnen verwendeten Konfiguration müssen Sie gegebenenfalls einige weitere Schritte durchführen, um für einige Services den Zugriff über Secure Sockets Layer (SSL) zu konfigurieren.

Vorbereitende Schritte

Zum Verwalten von Db2 Big SQL-Instanzen (mithilfe des Befehls cpd-cli service-instance) müssen Sie ein cpd-cli-Profil erstellen. Das Profil muss mit der Identität eines Benutzers eingerichtet werden, dem Zugriff auf die Db2 Big SQL-Instanz erteilt wurde. Weitere Informationen zum Erstellen eines cpd-cli-Profils finden Sie unter Profil erstellen, um die Verwaltungsbefehle der Schnittstelle cpd-cli verwenden zu können.

Informationen zu diesem Vorgang

In den folgenden Szenarios ist eine zusätzliche Konfiguration nötig, um das erforderliche SSL-Zertifikat für die Verbindung von Db2 Big SQL mit einem fernen Service bereitzustellen.

  • Sie stellen eine Verbindung zu einem Cloudera-Hadoop-Cluster her, auf dessen Cluster-Manager-Server über SSL zugegriffen wird.
  • Sie stellen eine Verbindung zu einem Cluster von Cloudera Distribution Including Apache Hadoop (CDH) her, bei dem die Verwendung von Java™ KMS SSL für Hadoop aktiviert ist.
  • Sie stellen eine Verbindung zu einem Ranger-Service her, auf den über SSL zugegriffen wird.
  • Sie stellen im Rahmen der Integration eines Ranger-Service eine Verbindung zu einem Key Management Service-Server (KMS-Server) her, auf den über SSL zugegriffen wird.

Fügen Sie für jedes Szenario, das auf Sie zutrifft, das erforderliche SSL-Zertifikat zu der Db2 Big SQL-Instanz hinzu. Ersetzen Sie bei den nachfolgend genannten Schritten die Datenbezeichnung jeweils durch den entsprechenden Wert:

  • Ersetzen Sie cmCertificate durch das SSL-Zertifikat des Cluster-Manager-Servers von Cloudera.
    Anmerkung: Wenn der Cluster Manager-Server (CM-Server) von Cloudera für HTTPS konfiguriert ist und dieses Zertifikat nicht erstellt wurde, pausiert die Bereitstellung, bis das Zertifikat bereitgestellt worden ist. Außerdem werden die folgenden Nachrichten in den Containerprotokollen des Head-Pods angezeigt: 
    ERROR: certificate path must be set when connecting to Cloudera Manager with https cmdWithRetry Execution of setup_client_configs failed (2).
cmdWithRetry Retrying (3) in  30 seconds.
Failed to deploy client configs with rc=2. Aborting the deployment

    Der Container wird erneut gestartet und versucht weiterhin, eine Verbindung zum Cluster-Manager herzustellen, bis das Zertifikat bereitgestellt worden ist.

  • Ersetzen Sie rangerSslCert durch das SSL-Zertifikat des Ranger-Admin-Service.
  • Ersetzen Sie rangerKmsSslCert durch das Zertifikat, das für die Integration von Ranger mit dem KMS-Server verwendet wird.
  • Ersetzen Sie hdfsKmsSslCert durch das Zertifikat, das für die Integration von Sentry mit dem KMS-Server verwendet wird.

Vorgehensweise

  1. Geben Sie die Instanz-ID der Db2 Big SQL-Instanz an. 
    ./cpd-cli service-instance list --service-type bigsql --profile <Profilname>
  2. Geben Sie den geheimen Schlüssel für Db2 Big SQL an, der aktualisiert werden soll. 
    oc get deployment bigsql-<Instanz-ID>-head -o custom-columns=KEY:.metadata.annotations.bigsql-secrets-key

    Der geheime Schlüssel, der aktualisiert werden soll, lautet bigsql-secrets-<Schlüssel>. Dabei steht <Schlüssel> für den Wert, der in der durch diesen Befehl erzeugten Ausgabe in der Spalte KEY angezeigt wird.

  3. Aktualisieren Sie den geheimen Schlüssel, um die Daten des SSL-Zertifikats als PEM-Datei (PEM: Privacy Enhanced Mail) unter der relevanten Datenbezeichnung hinzuzufügen. 
    secret=$(base64 <Zertifikat_PEM-Dateipfad> | awk ' { secret = secret $0 }; END { print secret } ')
oc patch secret bigsql-secret-<Schlüssel>> --patch '{"data": {"<Bezeichnung>": "'$secret'"}}'
  4. Überprüfen Sie, ob der geheime Schlüssel aktualisiert wurde. 
    oc describe secret bigsql-secret-<Schlüssel>

    Die Bezeichnung <Bezeichnung> wird mit einer Nutzlast ungleich null Byte zu den Daten des geheimen Schlüssels hinzugefügt.

  5. Wenn alle erforderlichen geheimen Schlüssel hinzugefügt worden sind, führen Sie einen Neustart der Db2 Big SQL-Instanz durch. 
    oc delete pods -l app=db2-bigsql,instance=<Instanz-ID>,bigsql-node-role=head
oc delete pods -l app=db2-bigsql,instance=<Instanz-ID>,bigsql-node-role=worker
  6. Optional: Wenn die Db2 Big SQL-Instanz eine Verbindung zu einem lokalen (On-Premises) Objektspeicher herstellt und Sie das bei der Konfiguration der Verbindung mit der fernen Datenquelle bereitgestellte Zertifikat aktualisieren wollen, können Sie dieses Verfahren mit der folgenden Datenbezeichnung verwenden, um das neue Zertifikat bereitzustellen: 
    osTlsCert  : Das SSL-Zertifikat für einen On-Premises-Objektspeicher