2.09 - Teradata QueryGrid 安全 - Teradata QueryGrid

Teradata® QueryGrid™ 安装和用户指南

prodname
Teradata QueryGrid
vrm_release
2.09
created_date
2019 年 5 月
category
安装
用户指南
管理
配置
featnum
B035-5991-059K-CHS

根证书颁发机构

QueryGrid 管理器实例可以安装在一个或多个 TMS、VM 或服务器上。安装第一个 QueryGrid 管理器实例时,QueryGrid 管理器将生成根证书颁发机构 (CA)。如果安装了其他 QueryGrid 管理器实例并且对所有实例建立集群,则在整个集群中使用由第一个 QueryGrid 管理器实例生成的根 CA。

在 Teradata QueryGrid 安装期间,必须在 Viewpoint 中注册根 CA。

根 CA 签署每个 QueryGrid 管理器实例的 SSL 证书。

SSL 证书

每个 QueryGrid 管理器实例都会生成一个供其自身与所有其他客户端之间的安全通信使用的 SSL 证书。客户端包括:
  • 同一集群中的其他 QueryGrid 管理器实例
  • 系统中的数据源节点
  • Viewpoint

当数据源节点添加到 QueryGrid 中的系统(数据源)时,QueryGrid 管理器实例会在安装节点软件期间为节点提供 SSL 证书。根 CA 签署的 SSL 证书允许数据源节点验证它是否正在与可信的 QueryGrid 管理器实例进行通信。

Teradata QueryGrid 管理器实例与网络结构中的数据源节点之间的所有通信都采用端口 9444 上的 HTTPS。

QueryGrid 管理器服务帐户

首次启动 QueryGrid 管理器时,系统会使用缺省密码自动创建名为 ViewpointSupport 的服务帐户。Teradata 强烈建议更改这些帐户的缺省密码。有关更改密码的详细信息,请参阅更改服务帐户密码

数据源节点的身份验证和注册

当数据源节点添加到 QueryGrid 中的系统(数据源)时,在节点上安装节点软件,并且节点服务向 QueryGrid 管理器实例注册节点。节点服务提供下列功能:
说明
UUID 当节点向 QueryGrid 管理器实例验证其自身的身份时,作为节点的用户名。
时间受限访问令牌 在首次将节点添加到系统(数据源)时,对节点进行身份验证。
生成的身份验证密码 在节点首次联接系统(数据源)后,允许节点向 QueryGrid 管理器实例验证其自身的身份。

IP 地址和主机名验证

当第一个 Teradata QueryGrid 管理器实例启动时,生成的 SSL 证书包含 QueryGrid 管理器 TMS、VM 或服务器的 IP 地址以及对 Teradata QueryGrid 管理器已知的主机名,以便客户端能够执行主机验证。

如果要使用 Teradata QueryGrid 管理器未知的主机名或 IP 地址对其进行访问,则可以通过设置别名属性(可以包含由逗号分隔的主机名或 IP 地址列表)将它们添加到 SSL 证书中。本指南中的安装过程包含添加别名的过程。

网络结构中的数据传输通信策略

连接器支持向网络结构中的数据源节点发送数据和从数据源节点接收数据。当配置 Teradata QueryGrid 时,可以为与发起连接器(发起查询的连接器)和目标连接器(接收查询的连接器)关联的链接对设置通信策略。您可以定义要用于数据传输的不同身份验证、完整性和加密检查的组合并指定每个链接使用的组合。

通信策略可以具有以下安全级别中的一种。
安全级别 使用率

基于 IP 的身份验证,无完整性检查,无加密

缺省值,仅指定最低的安全级别。建议仅在高度可信的环境中使用。
基于 IP 的身份验证,校验和完整性检查,无加密 提供比上一级别更高的安全,但仍建议仅在可信的环境中使用。
基于密钥的身份验证,安全完整性检查,加密凭据 提供比上一级别更高的安全,建议在非可信的环境中使用。
基于密钥的身份验证,安全完整性检查,加密所有数据 提供最高安全级别,建议在非可信的环境中使用。以下加密和完整性算法可用:AES-CRC32、AES-GCM(缺省)、AES-SHA256 或 AES-SHA512。

操作系统用户

安全也取决于运行连接器软件所使用的操作系统用户。您可以为每个连接器指定操作系统用户。此用户通常也是运行数据源的用户。

数据源 用户
Teradata Database teradata 用户
Presto presto 用户
Hive 执行查询的用户(可能是 hive)、yarn 用户和 Kerberos 主体或其他授权用户
Spark SQL 执行查询的用户(可能是 hive)、yarn 用户和 Kerberos 主体或其他授权用户

LDAP 和 Kerberos

目标连接器(所查询数据源的连接器)支持的安全机制因 Teradata Database、Presto 和 Hive 连接器而异。有关特定于某个数据源的安全机制的信息,请参阅相应的连接器安全部分。

Teradata QueryGrid 的一般安全准则

以下准则代表了维护 Teradata QueryGrid 安全的最佳做法。
  • 在安装期间更改 Teradata QueryGrid 管理器服务帐户缺省密码。本指南中提供了过程。
  • 在 Viewpoint 中设置适当的权限,以限制能够编辑 Teradata QueryGrid 配置的用户。
  • 仅使用在安全环境中运行的发起程序数据源创建链接。
  • 为链接指定通信策略时,使用适用于环境的安全选项。