ClickHouseとZookeeper間のオプションの安全な通信

Note

このページは ClickHouse Cloud には適用されません。ここで記載されている手順は、ClickHouse Cloud サービスで自動化されています。

ClickHouse クライアントとのSSL通信用に ssl.keyStore.location、ssl.keyStore.password、ssl.trustStore.location、ssl.trustStore.password を指定する必要があります。これらのオプションはZookeeperバージョン3.5.2から利用可能です。

zookeeper.crtを信頼された証明書に追加できます。

sudo cp zookeeper.crt /usr/local/share/ca-certificates/zookeeper.crt
sudo update-ca-certificates

config.xmlのクライアントセクションは以下のようになります:

<client>
    <certificateFile>/etc/clickhouse-server/client.crt</certificateFile>
    <privateKeyFile>/etc/clickhouse-server/client.key</privateKeyFile>
    <loadDefaultCAFile>true</loadDefaultCAFile>
    <cacheSessions>true</cacheSessions>
    <disableProtocols>sslv2,sslv3</disableProtocols>
    <preferServerCiphers>true</preferServerCiphers>
    <invalidCertificateHandler>
        <name>RejectCertificateHandler</name>
    </invalidCertificateHandler>
</client>

ClickHouseの設定にZookeeperを、いくつかのクラスタとマクロと共に追加します:

<clickhouse>
    <zookeeper>
        <node>
            <host>localhost</host>
            <port>2281</port>
            <secure>1</secure>
        </node>
    </zookeeper>
</clickhouse>

clickhouse-serverを起動します。ログには以下のように出力されるはずです:

<Trace> ZooKeeper: initialized, hosts: secure://localhost:2281

プレフィックス secure:// は接続がSSLで保護されていることを示しています。

トラフィックが暗号化されていることを確認するために、セキュアポートでtcpdumpを実行します:

tcpdump -i any dst port 2281 -nnXS

clickhouse-clientでクエリを実行します:

SELECT * FROM system.zookeeper WHERE path = '/';

暗号化されていない接続では、tcpdumpの出力に次のようなものが表示されます:

..../zookeeper/quota.

暗号化された接続ではこれが表示されません。