Hazelcast安全

    Hazelcast当前只支持Kerberos认证。由于Hazelcast是由state-store模块调用,因此开启Hazelcast认证,需先启用state-store。

    state-store启用后,在state-store的配置文件state-store.properties中增加如下配置:

    登陆Kerberos配置文件jaas.conf格式如下,配置时需先在Kerberos创建机机用户,并将创建的用户的principal,keytab按照如下格式配置

    属性描述
    登陆Kerberos的主体名。
    keyTab登陆Kerberos主体进行身份验证的keytab文件的位置。

    Hazelcast SSL/TLS

    state-store.properties文件中进行SSL/TLS配置。所有需要使用state-store的节点上均采用相同的配置。开启SSL/TLS后,未配置SSL/TLS或配置错 误的节点将无法与其他节点进行通信。

    为了Hazelcast通信启用SSL/TLS功能,需要执行以下步骤:

    1. 生成Java密钥库文件。可以使用每台主机的fully-qualified主机名为每个节点创建唯一的证书,创建时包含所有主机的所有公钥的密钥库,并为客户端 指定密钥库。在大多数情况下,使用通配符进行证书的创建更加方便,如下所示:

    2. 在配置启用SSL/TLS。