QueryGrid 管理器根证书颁发机构
QueryGrid 管理器实例可以安装在一个或多个 TMS、VM 或服务器上。安装第一个 QueryGrid 管理器实例时,QueryGrid 管理器将生成根证书颁发机构 (CA)。如果安装了其他 QueryGrid 管理器实例并且对所有实例建立集群,则在整个集群中使用由第一个 QueryGrid 管理器实例生成的根 CA。
根 CA 签署每个 QueryGrid 管理器实例的 SSL 证书。
QueryGrid 管理器 SSL 证书
- 同一集群中的其他 QueryGrid 管理器实例
- 系统中的数据源节点
- Viewpoint
- 浏览器到 QueryGrid 管理器 REST API 文档
- REST 客户端
当数据源节点添加到 QueryGrid 中的数据源系统时,QueryGrid 管理器实例会在安装节点软件期间为节点提供 SSL 证书。根 CA 签署的 SSL 证书允许数据源节点验证它是否正在与可信的 QueryGrid 管理器实例进行通信。
QueryGrid 管理器实例与网络结构中的数据源节点之间的所有通信都采用端口 9444 上的 HTTPS。
QueryGrid 管理器服务帐户
QueryGrid 管理器服务帐户提供调用 QueryGrid 管理器 API 的访问权限。这些帐户是 QueryGrid 管理器的内部帐户,不对应于任何数据库或操作系统用户帐户。服务帐户仅提供访问 QueryGrid 配置和监控数据的权限。
首次启动 QueryGrid 管理器时,系统会使用缺省密码自动创建名为 Viewpoint 和 Support 的服务帐户。Teradata 强烈建议更改这些帐户的缺省密码。如果忘记了密码,请参阅更改服务帐户密码和重置服务帐户密码获取有关更改密码的详细信息。
数据源节点的身份验证和注册
| 项 | 说明 |
|---|---|
| UUID | 当节点向 QueryGrid 管理器实例验证其自身的身份时,作为节点的用户名。 |
| 时间受限访问令牌 | 在首次将节点添加到数据源时,对节点进行身份验证。 |
| 生成的身份验证密码 | 在节点首次联接数据源后,允许节点向 QueryGrid 管理器实例验证其自身的身份。 |
IP 地址和主机名验证
当第一个 Teradata QueryGrid 管理器实例启动时,生成的 SSL 证书包含 QueryGrid 管理器 TMS、VM 或服务器的 IP 地址以及对 Teradata QueryGrid 管理器已知的主机名,以便客户端能够执行主机验证。
如果 Teradata QueryGrid 管理器 被未知的主机名或 IP 地址访问,则可以通过设置别名属性(可以包含由逗号分隔的主机名或 IP 地址列表)将它们添加到 SSL 证书中。本指南中的安装过程包含添加别名的过程。
数据传输
- 网络结构进程在运行 QueryGrid 的每个连接节点上运行。
- 连接器使用本地网络结构节点建立通道来发送和接收数据。
- 网络结构仅允许来自在连接器上定义的 allowed OS user 列表中本地连接器进程的连接。
- 从 QueryGrid 2.15 开始,网络结构进程使用 TLS 1.2+ 进行通信。
- 缺省情况下,所有数据都进行了加密,每个网络结构进程都会生成公钥/私钥对,用于与其他网络结构进程进行相互验证。
- 私钥保存在内存中,公钥由 QueryGrid 管理器发送和分发。
- 密钥每周轮换一次。
操作系统用户
安全也取决于连接器软件使用的操作系统用户。您可以为每个连接器指定操作系统用户。此用户通常也是数据源用户。
| 数据源 | 用户 |
|---|---|
| Teradata 系统 | teradata 用户 |
| Presto | starburst 用户 |
| Hive | 执行查询的用户(可能是 hive)、yarn 用户和 Kerberos 主体或其他授权用户 |
| Spark SQL | 执行查询的用户(可能是 hive)、yarn 用户和 Kerberos 主体或其他授权用户 |
LDAP 和 Kerberos
目标连接器支持的安全机制因 Teradata、Presto 和 Hive 连接器而异。有关特定于某个数据源的安全机制的信息,请参阅相应的连接器安全部分。
Teradata QueryGrid 的一般安全准则
- 在安装期间更改 Teradata QueryGrid 管理器服务帐户缺省密码。本指南中提供了过程。
- 在 Viewpoint 中设置适当的权限,以限制能够编辑 Teradata QueryGrid 配置的用户。
- 仅使用在安全环境中运行的发起程序数据源创建链接。
- 为链接指定通信策略时,使用适用于环境的安全选项。