我的一位客户正在使用开源零停机时间 (ZDM) 迁移工具 https://github.com/datastax/zdm-proxy.git 将当前的Cassandra集群拆分成多个集群
第一个问题是
该工具是否支持 TLS,因为文档中没有关于 TLS 设置的说明?
注意:客户使用的不是ZDM代理的自动化版本。
客户能够使 ZDM 代理在没有 TLS 的情况下工作,但在尝试启用 TLS 时受阻,
这是他们的设置。
export ORIGIN_TLS_USER_DIR_PATH=xxx
export ORIGIN_TLS_SERVER_CA_FILENAME=yyy
export ZDM_PROXY_TLS_USER_DIR_PATH=zzz
export ZDM_PROXY_TLS_CA_FILENAME=wwww
以下是部分代理日志
INFO[0000] Starting ZDM proxy version 2.1.0
INFO[0000] Proxy TLS was not configured.
INFO[0000] TLS was not configured for Origin
显示源和代理上的 TLS 未设置。
配置设置是否正确?如果不是,以一种 TLS 方式启用对原始集群的代理的正确配置是什么?
希望ZDM工具的支持者告诉我非自动化工具是否支持TLS。如果是,需要什么配置才能使 TLS 工作。
是的,ZDM 工具应该很好地支持 TLS。关于这个的文档(无可否认)有点难找,所以这里有一个链接:https://docs.datastax.com/en/astra-serverless/docs/migrate/tls.html
本质上,他们需要设置以下环境变量:
zdm_proxy_tls_user_dir_path_name
- 默认为 /home/ubuntu/zdm_proxy_tls_files
.
zdm_proxy_tls_server_ca_filename
- 代理必须使用的服务器 CA 的文件名(无路径)。总是需要的。
zdm_proxy_tls_server_cert_filename
- 代理必须使用的服务器证书的文件名(无路径)。总是需要的。
zdm_proxy_tls_server_key_filename
- 代理必须使用的服务器密钥的文件名(无路径)。总是需要的。
zdm_proxy_tls_require_client_auth
- 可选:默认为 false
(单向 TLS),可以设置为 true
以启用双向/双向 TLS。
origin_tls_user_dir_path_name
- 控制主机上包含 Origin 的 TLS 资产的目录路径,例如:/home/ubuntu/origin_tls_assets
origin_tls_server_ca_filename
- 服务器 CA 的文件名(无路径)
origin_tls_client_cert_filename
- 客户端证书的文件名(无路径)。仅适用于双向 TLS,否则请不要设置。
origin_tls_client_key_filename
:客户端密钥的文件名(无路径)。仅适用于双向 TLS,否则请不要设置。
现在只有在使用相互或双向 SSL 时才需要其中一些变量。但其中一些是硬性要求,所以我会确保所有这些都已设置。