如何为 TLS 配置 datastax zdm 代理?

问题描述 投票:0回答:1

我的一位客户正在使用开源零停机时间 (ZDM) 迁移工具 https://github.com/datastax/zdm-proxy.git 将当前的Cassandra集群拆分成多个集群

第一个问题是

该工具是否支持 TLS,因为文档中没有关于 TLS 设置的说明?

注意:客户使用的不是ZDM代理的自动化版本。

客户能够使 ZDM 代理在没有 TLS 的情况下工作,但在尝试启用 TLS 时受阻,

这是他们的设置。

export ORIGIN_TLS_USER_DIR_PATH=xxx
export ORIGIN_TLS_SERVER_CA_FILENAME=yyy
export ZDM_PROXY_TLS_USER_DIR_PATH=zzz
export ZDM_PROXY_TLS_CA_FILENAME=wwww

以下是部分代理日志

INFO[0000] Starting ZDM proxy version 2.1.0
INFO[0000] Proxy TLS was not configured.
INFO[0000] TLS was not configured for Origin

显示源和代理上的 TLS 未设置。

配置设置是否正确?如果不是,以一种 TLS 方式启用对原始集群的代理的正确配置是什么?

希望ZDM工具的支持者告诉我非自动化工具是否支持TLS。如果是,需要什么配置才能使 TLS 工作。

cassandra nosql database-migration datastax
1个回答
0
投票

是的,ZDM 工具应该很好地支持 TLS。关于这个的文档(无可否认)有点难找,所以这里有一个链接:https://docs.datastax.com/en/astra-serverless/docs/migrate/tls.html

本质上,他们需要设置以下环境变量:

  • zdm_proxy_tls_user_dir_path_name
    - 默认为
    /home/ubuntu/zdm_proxy_tls_files
    .

  • zdm_proxy_tls_server_ca_filename
    - 代理必须使用的服务器 CA 的文件名(无路径)。总是需要的。

  • zdm_proxy_tls_server_cert_filename
    - 代理必须使用的服务器证书的文件名(无路径)。总是需要的。

  • zdm_proxy_tls_server_key_filename
    - 代理必须使用的服务器密钥的文件名(无路径)。总是需要的。

  • zdm_proxy_tls_require_client_auth
    - 可选:默认为
    false
    (单向 TLS),可以设置为
    true
    以启用双向/双向 TLS。

  • origin_tls_user_dir_path_name
    - 控制主机上包含 Origin 的 TLS 资产的目录路径,例如:
    /home/ubuntu/origin_tls_assets

  • origin_tls_server_ca_filename
    - 服务器 CA 的文件名(无路径)

  • origin_tls_client_cert_filename
    - 客户端证书的文件名(无路径)。仅适用于双向 TLS,否则请不要设置。

  • origin_tls_client_key_filename
    :客户端密钥的文件名(无路径)。仅适用于双向 TLS,否则请不要设置。

现在只有在使用相互或双向 SSL 时才需要其中一些变量。但其中一些是硬性要求,所以我会确保所有这些都已设置。

© www.soinside.com 2019 - 2024. All rights reserved.