通过双向 TLS 保护 Exhibitor

通过启用 TLS 的 Exhibitor 组合来保护 DC/OS

验证 Exhibitor 是否受到保护

从 DC/OS 2.0 开始,Exhibitor 在静态管理节点群集中受默认保护。要验证 Exhibitor 是否在群集上受到保护,请在您的管理节点之一上运行以下命令:

如果您看到以下内容,则表明 Exhibitor 在您的群集上已受到保护:

  2. 内容长度:0
  3. 服务器:Jetty(1.5.6-SNAPSHOT)

保护 Exhibitor

以前,Exhibitor HTTP 服务对可以访问管理节点上端口 8181 的任何客户端开放。本页介绍保护一种 Exhibitor 服务免受未经授权访问的方法。启用后,HTTP 客户端必须通过 Admin Router 访问 Exhibitor,因而将 Admin Router 访问控制策略应用于 Exhibitor 服务。 保护 Exhibitor 的策略是双向 TLS 认证。为了保护 Exhibitor,必须先创建唯一性根 CA 证书。该 CA 证书用于为 Admin Router 和 Exhibitor 服务签署各种端点实体证书。创建输出 PEM 和 Java KeyStore 格式化工件的公钥基础架构不是一件容易的事。为了简化此过程,我们创建了一个简单的工具来生成必要的文件。

本指南仅适用于使用 静态 管理节点发现的群集,目前不支持 master_http_loadbalancer。请参阅 管理节点发现 的配置参考。

注意:通过 Admin Router https://master_host/exhibitor 访问 Exhibitor 时 ,已认证用户必须有 dcos:adminrouter:ops:exhibitor 特权以及全部操作标识符

从 下载脚本并运行:

预期输出如下所示:

  1. 使用:exhibitor-tls-artifacts [选项] [节点]...
  3. 生成 Admin Router  Exhibitor TLS 工件。节点应包括
  4. 管理节点 IP 地址以空格分隔的列表。参见
  5. /mesosphere/dcos/2.1/security/ent/tls-ssl/exhibitor/
  7. 选项:
  8.                              不能存在 output_directory
  9. --帮助                       显示此消息并退出。

要生成 TLS 工件,请将管理节点 IP 地址用作位置参数来运行该工具。使用在 master_list DC/OS 配置文件 (config.yml) 中的字段中找到的 IP 地址。如果此文件不可用,运行每个管理节点上的 /opt/mesosphere/bin/detect_ip 都会生成正确的地址。

例如,如果管理节点是 10.192.0.2, 10.192.0.3, 10.192.0.4,则使用以下命令调用脚本:

上述命令会在当前的目录中创建名为 artifacts 的目录(在运行命令之前该目录不得存在)。在 artifacts 下方,您会找到 root-cert.pem 和 truststore.jks。这些文件包含 PEM 和 Java Keystore 格式的根 CA 证书。artifacts 目录还包含 3 个子目录,即 10.192.0.2、 和 10.192.0.4. 每个子目录包含以下文件:

  1. client-cert.pem
  2. client-key.pem
  3. clientstore.jks
  4. root-cert.pem
  5. serverstore.jks
  6. truststore.jks

将每个节点的工件目录内容复制到相应管理节点的 /var/lib/dcos/exhibitor-tls-artifacts

例如:

Exhibitor 和 Master Admin Router 必须在所有节点上重启。复制所有文件后,在 所有 管理节点上运行以下命令。

警告:这将导致 ZooKeeper 和 Master Admin Router 短时间停机。

  1. systemctl restart dcos-exhibitor.service

systemd 单元脚本将检测工件是否存在,并相应地设置所有权和权限。