kingbaseES R3 集群配置 SSL

Kingbase 研究院

已于 2023-02-11 17:01:26 修改

阅读量1.2k

点赞数

文章标签：数据库 linux nginx zookeeper mysql

于 2022-04-21 18:48:00 首次发布

本文链接：https://blog.csdn.net/lyu1026/article/details/124464685

版权

本文详细介绍了在非生产环境中配置KingbaseES R3集群使用SSL的过程，包括客户端证书访问、集群健康检查端口的SSL访问问题、sys_hba.conf配置、服务端与客户端证书的生成和配置、以及集群重启和主备切换测试。测试结果显示，仅54321端口支持SSL认证访问，而9999端口不支持。

摘要由CSDN通过智能技术生成

案例说明：
本测试是在非生产环境下，在官方没有明确声明支持KingbaseCluster使用ssl的前提下，建议只能在测试环境使用，避免生产环境下直接使用。

数据库版本：

TEST=# select version();
                                                      version
--------------------------------------------------------------------------------------------------------------------
 Kingbase V008R003C002B0061 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-46), 64-bit
(1 row)

测试环境：

kingbasecluster SSL测试总结：
1、对于Client数据库访问(54321)支持ssl认证访问(客户端证书方式)
2、对于集群(kingbasecluster)在9999端口测试后台数据库healthy时，无法通过ssl认证访问。
3、需要配置sys_hba.conf规避用户SUPERMANAGER_V8ADMIN和SYSTEM通过ssl访问数据库。

sys_hba.conf配置：

测试过程如下：

1、生成服务端证书

=将产品配置的服务端证书拷贝到数据目录下并配置权限(主库和备库)。=

[kingbase@srv1 soft]$ ls -lh bmjcert
总用量 32K
-rw-r--r-- 1 kingbase kingbase  944 11月  6 16:18 kingbase.crt
-rw-r--r-- 1 kingbase kingbase  891 11月  6 16:18 kingbase.key
-rw-r--r-- 1 kingbase kingbase  637 11月  6 16:18 kingbase.pk8
-rw-r--r-- 1 kingbase kingbase 4.2K 11月  6 16:18 root.crt
-rw-r--r-- 1 kingbase kingbase 4.2K 11月  6 16:18 server.crt
-rw-r--r-- 1 kingbase kingbase 1.7K 11月  6 16:18 server.key

主库服务端证书信息：

[kingbase@srv1 soft]$ cd /home/kingbase/cluster/kdb/db/data/
[kingbase@srv1 data]$ chmod 400 server.* 
[kingbase@srv1 data]$ chmod 400 root.crt
[kingbase@srv1 data]$ ls -lh server.* root.crt
-r-------- 1 kingbase kingbase 4.2K 3月  25 10:20 root.crt
-r-------- 1 kingbase kingbase 4.2K 3月  25 10:20 server.crt
-r-------- 1 kingbase kingbase 1.7K 3月  25 10:21 server.key

备库服务端证书信息：

[kingbase@srv2 cluster]$ cd kdb/db/data
[kingbase@srv2 data]$ ls -lh server.crt server.key root.crt
-r-------- 1 kingbase kingbase 4.2K 3月  25 10:21 root.crt
-r-------- 1 kingbase kingbase 4.2K 3月  25 10:21 server.crt
-r-------- 1 kingbase kingbase 1.7K 3月  25 10:21 server.key

2、配置数据库启用ssl(主备库)1)配置kingbase.conf

[kingbase@srv1 data]$ cat kingbase.conf |grep ssl
ssl = on                                # (change requires restart)
#ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' # allowed SSL ciphers
#ssl_prefer_server_ciphers = on         # (change requires restart)
#ssl_ecdh_curve = 'prime256v1'          # (change requires restart)
ssl_cert_file = 'server.crt'            # (change requires restart)
ssl_key_file = 'server.key'             # (change requires restart)
ssl_ca_file = 'root.crt'                        # (change requires restart)
#ssl_crl_file = ''                      # (change requires restart)

2)sys_hba.conf启用hostssl认证

# "local" is for Unix domain socket connections only
local   all             all                                     md5
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
#host    all             all             0.0.0.0/0               md5
hostssl    all             all             0.0.0.0/0            md5 clientcert=1

3、配置客户端ssl证书(主备库)