2.15 - Teradata QueryGrid 安全 - Teradata QueryGrid

Teradata® QueryGrid™ 安装和用户指南

Product
Teradata QueryGrid
Release Number
2.15
Release Date
2021 年 3 月
Content Type
安装
用户指南
管理
配置
Publication ID
B035-5991-031K-CHS
Language
中文 (简体)

QueryGrid 管理器根证书颁发机构

QueryGrid 管理器实例可以安装在一个或多个 TMS、VM 或服务器上。安装第一个QueryGrid 管理器实例时,QueryGrid 管理器将生成根证书颁发机构 (CA)。如果安装了其他 QueryGrid 管理器实例并且对所有实例建立集群,则在整个集群中使用由第一个QueryGrid 管理器实例生成的根 CA。

Teradata QueryGrid 安装期间,必须在 Viewpoint 中注册根 CA。

根 CA 签署每个QueryGrid 管理器实例的 SSL 证书。

QueryGrid 管理器 SSL 证书

每个 QueryGrid 管理器实例都会生成一个供其自身与所有其他客户端之间的安全通信使用的 SSL 证书。此类客户端包括:
  • 同一集群中的其他 QueryGrid 管理器实例
  • 系统中的数据源节点
  • Viewpoint
  • 浏览器到 QueryGrid 管理器 REST API 文档
  • REST 客户端
对于 Viewpoint、Swagger UI 访问和 REST 客户端,允许从外部访问端口 9443。端口 9443 的 SSL 证书是可自定义的。9443 以外的端口使用的证书仅用于内部 QueryGrid 流量,不能自定义。这些证书是在 QueryGrid 安装期间生成的,并在部署期间提供给每个 QueryGrid 组件,以验证它们是否正与可信的 QueryGrid 服务通信。可以定期轮换证书,请参阅证书颁发机构轮换。有关详细信息,请参阅安装/卸载自定义服务器证书.

当数据源节点添加到 QueryGrid 中的数据源系统时,QueryGrid 管理器实例会在安装节点软件期间为节点提供 SSL 证书。根 CA 签署的 SSL 证书允许数据源节点验证它是否正在与可信的 QueryGrid 管理器实例进行通信。

All communication between the QueryGrid 管理器实例与网络结构中的数据源节点之间的所有通信都采用端口 9444 上的 HTTPS。

QueryGrid 管理器服务帐户

QueryGrid 管理器服务帐户提供调用 QueryGrid 管理器 API 的访问权限。这些帐户是 QueryGrid 管理器的内部帐户,不对应于任何数据库或操作系统用户帐户。服务帐户仅提供访问 QueryGrid 配置和监控数据的权限。

首次启动 QueryGrid 管理器时,系统会使用缺省密码自动创建名为 ViewpointSupport 的服务帐户。Teradata 强烈建议更改这些帐户的缺省密码。如果忘记了密码,请参阅更改服务帐户密码重置服务帐户密码获取有关更改密码的详细信息。

数据源节点的身份验证和注册

当数据源节点添加到 QueryGrid 中的数据源时,会在节点上安装节点软件,并且节点服务会向 QueryGrid 管理器实例注册节点。节点服务提供下列信息:
说明
UUID 当节点向 QueryGrid 管理器实例验证其自身的身份时,作为节点的用户名。
时间受限访问令牌 在首次将节点添加到数据源时,对节点进行身份验证。
生成的身份验证密码 在节点首次联接数据源后,允许节点向 QueryGrid 管理器实例验证其自身的身份。

IP 地址和主机名验证

当第一个 Teradata QueryGrid 管理器实例启动时,生成的 SSL 证书包含 QueryGrid 管理器 TMS、VM 或服务器的 IP 地址以及对 Teradata QueryGrid 管理器已知的主机名,以便客户端能够执行主机验证。

如果 Teradata QueryGrid 管理器 被未知的主机名或 IP 地址访问,则可以通过设置别名属性(可以包含由逗号分隔的主机名或 IP 地址列表)将它们添加到 SSL 证书中。本指南中的安装过程包含添加别名的过程。

数据传输

QueryGrid 连接器使用 QueryGrid 网络结构在源系统和目标系统之间传输数据。数据传输通过以下进程进行:
  • 网络结构进程在运行 QueryGrid 的每个连接节点上运行。
  • 连接器使用本地网络结构节点建立通道来发送和接收数据。
  • 网络结构仅允许来自连接器定义的 allowed OS user 列表中的本地连接器进程的连接。
  • QueryGrid 2.15 开始,网络结构进程使用 TLS 1.2+ 进行通信。
    • 缺省情况下,所有数据都进行了加密,每个网络结构进程都会生成公钥/私钥对,用于与其他网络结构进程进行相互验证。
    • 私钥保存在内存中,公钥由 QueryGrid 管理器发送和分发。
    • 密钥每周轮换一次。

操作系统用户

安全也取决于连接器软件使用的操作系统用户。您可以为每个连接器指定操作系统用户。此用户通常也是数据源用户。

数据源 用户
Teradata 系统 teradata 用户
Presto presto 用户
Hive 执行查询的用户(可能是hive)、yarn 用户和 Kerberos 主体或其他授权用户
Spark SQL 执行查询的用户(可能是 hive)、yarn用户和 Kerberos 主体或其他授权用户

LDAP 和 Kerberos

目标连接器支持的安全机制因 Teradata、Presto 和 Hive 连接器而异。有关特定于某个数据源的安全机制的信息,请参阅相应的连接器安全部分。

Teradata QueryGrid 的一般安全准则

以下准则代表了维护 Teradata QueryGrid 安全的最佳做法。
  • 在安装期间更改 Teradata QueryGrid 管理器服务帐户缺省密码。本指南中提供了过程。
  • Viewpoint中设置适当的权限,以限制能够编辑 Teradata QueryGrid 配置的用户。
  • 仅使用在安全环境中运行的发起程序数据源创建链接。
  • 为链接指定通信策略时,使用适用于环境的安全选项。