ClickHouse와 ZooKeeper 간의 선택적 보안 통신
Not supported in ClickHouse Cloud
참고
이 페이지의 내용은 ClickHouse Cloud에 해당하지 않습니다. 이 문서에서 설명하는 절차는 ClickHouse Cloud 서비스에서 자동으로 처리됩니다.
SSL을 통해 ClickHouse 클라이언트와 통신하려면 ssl.keyStore.location, ssl.keyStore.password와 ssl.trustStore.location, ssl.trustStore.password를 각각 지정해야 합니다. 이러한 옵션은 Zookeeper 3.5.2 버전부터 사용할 수 있습니다.
zookeeper.crt를 신뢰할 수 있는 인증서 목록에 추가할 수 있습니다.
sudo cp zookeeper.crt /usr/local/share/ca-certificates/zookeeper.crt
sudo update-ca-certificates
config.xml의 client 섹션은 다음과 같습니다:
<client>
<certificateFile>/etc/clickhouse-server/client.crt</certificateFile>
<privateKeyFile>/etc/clickhouse-server/client.key</privateKeyFile>
<loadDefaultCAFile>true</loadDefaultCAFile>
<cacheSessions>true</cacheSessions>
<disableProtocols>sslv2,sslv3</disableProtocols>
<preferServerCiphers>true</preferServerCiphers>
<invalidCertificateHandler>
<name>RejectCertificateHandler</name>
</invalidCertificateHandler>
</client>
ClickHouse 설정에 ZooKeeper와 몇 가지 클러스터 및 매크로를 추가하십시오:
<clickhouse>
<zookeeper>
<node>
<host>localhost</host>
<port>2281</port>
<secure>1</secure>
</node>
</zookeeper>
</clickhouse>
clickhouse-server를 시작하십시오. 로그에서 다음과 같은 메시지가 출력되어야 합니다:
<Trace> ZooKeeper: initialized, hosts: secure://localhost:2281
secure:// 접두사는 연결이 SSL로 보호됨을 나타냅니다.
트래픽이 암호화되었는지 확인하려면 보안이 설정된 포트에서 tcpdump를 실행하십시오:
tcpdump -i any dst port 2281 -nnXS
그리고 clickhouse-client에서의 쿼리:
SELECT * FROM system.zookeeper WHERE path = '/';
암호화되지 않은 연결에서는 tcpdump 출력에 다음과 같은 내용이 나타납니다:
암호화된 연결에서는 이 메시지가 표시되지 않아야 합니다.
