通过双向 TLS 保护 Exhibitor
通过启用 TLS 的 Exhibitor 组合来保护 DC/OS
验证 Exhibitor 是否受到保护
从 DC/OS 2.0 开始,Exhibitor 在静态管理节点群集中受默认保护。要验证 Exhibitor 是否在群集上受到保护,请在您的管理节点之一上运行以下命令:
如果您看到以下内容,则表明 Exhibitor 在您的群集上已受到保护:
内容长度:0
服务器:Jetty(1.5.6-SNAPSHOT)
保护 Exhibitor
以前,Exhibitor HTTP 服务对可以访问管理节点上端口 8181 的任何客户端开放。本页介绍保护一种 Exhibitor 服务免受未经授权访问的方法。启用后,HTTP 客户端必须通过 Admin Router 访问 Exhibitor,因而将 Admin Router 访问控制策略应用于 Exhibitor 服务。 保护 Exhibitor 的策略是双向 TLS 认证。为了保护 Exhibitor,必须先创建唯一性根 CA 证书。该 CA 证书用于为 Admin Router 和 Exhibitor 服务签署各种端点实体证书。创建输出 PEM 和 Java KeyStore 格式化工件的公钥基础架构不是一件容易的事。为了简化此过程,我们创建了一个简单的工具来生成必要的文件。
本指南仅适用于使用 静态 管理节点发现的群集,目前不支持 master_http_loadbalancer
。请参阅 管理节点发现 的配置参考。
注意:通过 Admin Router https://master_host/exhibitor
访问 Exhibitor 时 ,已认证用户必须有 dcos:adminrouter:ops:exhibitor
特权以及全部操作标识符
从 下载脚本并运行:
预期输出如下所示:
使用:exhibitor-tls-artifacts [选项] [节点]...
生成 Admin Router 和 Exhibitor TLS 工件。节点应包括
管理节点 IP 地址以空格分隔的列表。参见
/mesosphere/dcos/2.1/security/ent/tls-ssl/exhibitor/
选项:
不能存在 output_directory。
--帮助 显示此消息并退出。
要生成 TLS 工件,请将管理节点 IP 地址用作位置参数来运行该工具。使用在 master_list
DC/OS 配置文件 (config.yml) 中的字段中找到的 IP 地址。如果此文件不可用,运行每个管理节点上的 /opt/mesosphere/bin/detect_ip
都会生成正确的地址。
例如,如果管理节点是 10.192.0.2, 10.192.0.3, 10.192.0.4
,则使用以下命令调用脚本:
上述命令会在当前的目录中创建名为 artifacts
的目录(在运行命令之前该目录不得存在)。在 artifacts
下方,您会找到 root-cert.pem 和 truststore.jks。这些文件包含 PEM 和 Java Keystore 格式的根 CA 证书。artifacts
目录还包含 3 个子目录,即 10.192.0.2
、 和 10.192.0.4
. 每个子目录包含以下文件:
client-cert.pem
client-key.pem
clientstore.jks
root-cert.pem
serverstore.jks
truststore.jks
将每个节点的工件目录内容复制到相应管理节点的 /var/lib/dcos/exhibitor-tls-artifacts
例如:
Exhibitor 和 Master Admin Router 必须在所有节点上重启。复制所有文件后,在 所有 管理节点上运行以下命令。
警告:这将导致 ZooKeeper 和 Master Admin Router 短时间停机。
systemctl restart dcos-exhibitor.service
systemd
单元脚本将检测工件是否存在,并相应地设置所有权和权限。