ClickHouse と Zookeeper 間のオプションのセキュア通信
Not supported in ClickHouse Cloud
注記
This page is not applicable to ClickHouse Cloud. The procedure documented here is automated in ClickHouse Cloud services.
ClickHouse クライアントとの SSL 経由の通信のために、ssl.keyStore.location、ssl.keyStore.password および ssl.trustStore.location、ssl.trustStore.password を指定する必要があります。これらのオプションは Zookeeper バージョン 3.5.2 以降で利用可能です。
zookeeper.crt を信頼済み証明書に追加できます。
sudo cp zookeeper.crt /usr/local/share/ca-certificates/zookeeper.crt
sudo update-ca-certificates
config.xml の client セクションは次のようになります:
<client>
<certificateFile>/etc/clickhouse-server/client.crt</certificateFile>
<privateKeyFile>/etc/clickhouse-server/client.key</privateKeyFile>
<loadDefaultCAFile>true</loadDefaultCAFile>
<cacheSessions>true</cacheSessions>
<disableProtocols>sslv2,sslv3</disableProtocols>
<preferServerCiphers>true</preferServerCiphers>
<invalidCertificateHandler>
<name>RejectCertificateHandler</name>
</invalidCertificateHandler>
</client>
クラスタ定義とマクロを含めて、ClickHouse の設定に Zookeeper を追加します:
<clickhouse>
<zookeeper>
<node>
<host>localhost</host>
<port>2281</port>
<secure>1</secure>
</node>
</zookeeper>
</clickhouse>
clickhouse-server を起動します。ログに次のような出力が表示されるはずです:
<Trace> ZooKeeper: 初期化済み、ホスト: secure://localhost:2281
secure:// プレフィックスは、接続が SSL によって保護されていることを示します。
トラフィックが暗号化されていることを確認するには、セキュアなポート上で tcpdump を実行します。
tcpdump -i any dst port 2281 -nnXS
次に、clickhouse-client でクエリを実行します:
SELECT * FROM system.zookeeper WHERE path = '/';
暗号化されていない接続の場合、tcpdump の出力は次のようになります。
暗号化された接続の場合、これは表示されないはずです。
