Yapılandırma ve sıkılaştırma¶

Veri işleme hizmetinde güvenliği artırabilecek birkaç yapılandırma seçeneği ve yayına alma stratejisi vardır. Servis denetleyicisi bir ana yapılandırma dosyası ve bir veya daha fazla ilke dosyası aracılığıyla yapılandırılmıştır. Veri yerellik özelliklerini kullanan yüklemelerde, Hesaplama ve Nesne Depolama düğümlerinin fiziksel konumunu belirlemek için iki ek dosyaya sahip olacaksınız.

TLS¶

Diğer birçok OpenStack denetleyicileri gibi Veri işleme servisi denetleyicisi, TLS bağlantıları gerektirecek şekilde yapılandırılabilir.

Denetleyici doğrudan TLS bağlantılarına izin vermediğinden, Kilo öncesi sürümler, TLS vekili gerektirecektir. TLS vekillerini yapılandırma şu adreste bulunur TLS vekiller ve HTTP servisler, ve bu tür bir kurulum oluşturmak için aşağıdaki tavsiyeleri takip etmenizi öneririz.

Kilo sürümünden itibaren veri işleme denetleyicisi, doğrudan TLS bağlantılarına izin veriyor, öneriyoruz. Bu davranışın etkinleştirilmesi, denetleyici yapılandırma dosyasında küçük ayarlamalar gerektirir.

Örnek. Kontrolcüye TLS erişimini yapılandırmak

[ssl]
ca_file = cafile.pem
cert_file = certfile.crt
key_file = keyfile.key

Rol tabanlı erişim kontrolü ilkeleri¶

Veri işleme hizmeti, rol tabanlı erişim denetimini yapılandırmak için ./identity/policies bölümünde açıklandığı gibi bir ilke dosyası kullanır. İlke dosyasını kullanarak operatör, bir grubun belirli veri işleme işlevlerine erişimini kısıtlayabilir.

Bunu yapmanın nedenleri kurulumun örgütsel gerekliliklerine bağlı olarak değişecektir. Genel olarak, bu iyi ayarlanmış kontroller, operatöre Veri işleme hizmet kaynaklarının oluşturulması, silinmesi ve alınmasını sınırlamaları gereken durumlarda kullanılır. Bir projedeki erişimi kısıtlamaya ihtiyaç duyan operatörler, kullanıcıların hizmetin temel işlevselliğine erişebilecekleri alternatif araçların olması gerektiğinin tam olarak farkında olmalıdır (örneğin, provizyon kümeleri).

Örnek. Tüm kullanıcılara tüm metodları izin ver (öntanımlı ilke)

{
    "default": ""
}

Örnek. Yönetici olmayan kullanıcılara resim kaydı düzenlemelerini yasakla

{
    "default": "",

    "data-processing:images:register": "role:admin",
    "data-processing:images:unregister": "role:admin",
    "data-processing:images:add_tags": "role:admin",
    "data-processing:images:remove_tags": "role:admin"
}

Güvenlik Grupları¶

Veri işleme hizmeti, güvenlik gruplarının kümeleri için hazırlanan örneklerle ilişkilendirilmesini sağlar. Ek yapılandırmayla hizmet, kümeleri sunan herhangi bir proje için varsayılan güvenlik grubunu kullanacaktır. İstenirse farklı bir güvenlik grubu kullanılabilir veya erişilen çatı tarafından belirtilen bağlantı noktalarına dayanan bir güvenlik grubu oluşturmak üzere hizmete talimat veren otomatik bir seçenek bulunur.

Üretim ortamları için, güvenlik gruplarını elle kontrol etmenizi ve kurulum için uygun grup kuralları seti hazırlamanızı öneririz. Bu şekilde, operatör, varsayılan güvenlik grubunun tüm uygun kuralları içereceğinden emin olabilir. Güvenlik gruplarının genişletilmiş bir tartışması için lütfen bakınız Güvenlik Grupları.

Vekil alan adları¶

Nesne Depolama servisini veri işleme ile birlikte kullanırken, depo erişimi için kimlik bilgilerini eklemek gereklidir. Vekil etki alanları ile Veri işleme servisi, etki alanında oluşturulan geçici bir kullanıcı aracılığıyla depo erişimine izin vermek için Kimlik servisinden temsil edilen bir güven kullanabilir. Bu temsilci mekanizmasının çalışması için, Veri işleme servisi vekil alan adlarını kullanacak şekilde yapılandırılmalı ve operatör, vekil kullanıcıları için bir kimlik alanını yapılandırmalıdır.

Veri işleme denetleyicisi, nesne deposu erişimi için sağlanan kullanıcı adı ve parolanın geçici depolanmasını korur. Vekil etki alanlarını kullanırken, denetçi vekil kullanıcı için bu çifti oluşturacak ve bu kullanıcının erişimi kimlik güvenininkiyle sınırlı olacaktır. Denetleyicinin veya veritabanının ortak ağlara giden veya ortak ağlara yönlendirdiği herhangi bir kurulumda vekil etki alanlarını kullanmanızı öneririz.

Örnek. “dp_proxy” adında bir vekil alan adı ayarlamak

[DEFAULT]
use_domain_for_proxy_users = true
proxy_user_domain_name = dp_proxy
proxy_user_role_names = Member

Özel ağ topolojileri¶

Veri işleme denetleyicisi, küme örneklerine erişmek için vekil komutlarını kullanacak şekilde yapılandırılabilir. Bu şekilde doğrudan ağ servisi tarafından sağlanan şebekeleri kullanmayan kurulumlar için özel ağ topolojileri oluşturulabilir. Denetleyici ile örnekler arasındaki erişimi sınırlayan kurulumlar için bu seçeneği kullanmanızı öneririz.

Örnek. Örneklere belirli bir geçiş makinesi aracılığıyla erişin

[DEFAULT]
proxy_command='ssh relay-machine-{tenant_id} nc {host} {port}'

Örnek. Örneklere özel bir ağ ad alanı aracılığıyla erişin

[DEFAULT]
proxy_command='ip netns exec ns_for_{network_id} nc {host} {port}'

Dolaylı erişim¶

Değişken IP adresleri veya güvenlik kurallarının sınırları nedeniyle denetleyicinin tüm küme örneklerine sınırlı erişimi olacak olan kurulumlarda dolaylı erişim yapılandırılabilir. Bu, bazı örneklerin kümenin diğer örneklerine vekil geçitleri olarak atanmasına izin verir.

Bu yapılandırma, yalnızca veri işleme kümelerini oluşturacak düğüm grubu şablonlarını tanımlarken etkinleştirilebilir. Küme hazırlama işlemi sırasında etkinleştirilecek bir çalışma zamanı seçeneği olarak sağlanmıştır.

Rootwrap¶

Ağa erişim için özel topolojiler oluştururken, root olmayan kullanıcıların vekil komutlarını çalıştırmasına izin vermesi gerekebilir. Bu gibi durumlarda oslo rootwrap paketi, root olmayan kullanıcılar için ayrıcalıklı komutlar çalıştıran bir olanak sağlamak için kullanılır. Bu yapılandırma, veri işleme denetleyicisi uygulamasıyla ilişkili kullanıcıyı sudoers listesinde ve yapılandırma dosyasında etkin kılınmasını gerektirir. İsteğe bağlı olarak, alternatif bir rootwrap komutu sağlanabilir.

Örnek. rootwrap kullanımını açmak ve öntanımlı komutu göstermek

[DEFAULT]
use_rootwrap=True
rootwrap_command=’sudo sahara-rootwrap /etc/sahara/rootwrap.conf’

Rootwrap projesi ile ilgili daha fazla bilgi içi, resmi belgelendirmeye bakın: https://wiki.openstack.org/wiki/Rootwrap

Günlük tutma¶

Servis denetleyicisinin çıktısını izlemek, daha kapsamlı bir şekilde açıklandığı gibi güçlü bir adli araçtır İzleme ve günlükleme. Veri işleme servis denetleyicisi, günlüğe kaydetme konumunu ve seviyesini ayarlamak için birkaç seçenek sunar.

Örnek. Uyarı seviyesinden daha yüksek günlük seviyesine ayarlama ve çıktı dosyasını belirleme.

[DEFAULT]
verbose = true
log_file = /var/log/data-processing.log

Kaynakça¶

OpenStack.org, Welcome to Sahara!. 2016. Sahara project documentation

Apache Yazılım Vakfı, Apache Hadoop’a Hoşgeldiniz!. 2016. Apache Hadoop projesi

Apache Yazılım Vakfı, Güvenli Kipte Hadoop. 2016. Hadoop güvenli kip belgelendirmesi

Apache Yazılım Vakfı, HDFS Kullanıcı Kılavuzu. 2016. Hadoop HDFS belgelendirmesi

Apache Yazılım Vakfı, Spark. 2016. Spark projesi

Apache Yazılım Vakfı, Spark Güvenliği. 2016. Spark güvenlik belgelendirmesi

Apache Yazılım Vakfı, Apache Storm. 2016. Storm projesi

Apache Yazılım Vakfı, Apache Zookeeper. 2016. Zookeeper projesi

Apache Yazılım Vakfı, Apache Oozie, Hadoop için İşakışı Planlayıcı. 2016. Oozie projesi

Apache Yazılım Vakfı, Apache Hive. 2016. Hive

Apache Yazılım Vakfı, Apache Pig’e Hoşgeldiniz. 2016. Pig

Apache Yazılım Vakfı, Cloudera Ürün Belgelendirmesi. 2016. Cloudera CDH belgelendirmesi

Hortonworks, Hortonworks. 2016. Hortonworks Veri Platformu belgelendirmesi

MapR Teknolojileri, MapR Tümleşik Veri Platformu için Apache Hadoop. 2016. MapR projesi

Yapılandırma ve sıkılaştırma