OpsCenterとエージェントの通信用のSSL/TLSを有効にする - tarボール・インストール

tarボール・インストールのSSLを有効にするには、構成ファイルを編集してスクリプトを実行し、OpsCenterとDataStaxエージェントで使用されるキーを生成します。

tarボール・インストールのSSLを有効にするには、構成ファイルを編集してスクリプトを実行し、OpsCenterとDataStaxエージェントで使用されるキーを生成します。

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/etc/opscenter/opscenterd.conf
  • tarボール・インストール:install_location/conf/opscenterd.conf

address.yaml

address.yamlファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/var/lib/datastax-agent/conf/address.yaml
  • tarボール・インストール:install_location/conf/address.yaml

始める前に

OpsCenterでは、SSLは.derファイル形式である必要があります。既存の[エージェント] ssl_certfileopscenterd.conf 内)が.pem形式である場合は、以下のコマンドを実行して形式を変換します。
openssl x509 -outform der -in /install_location/ssl/opscenter.pem -out /install_location/ssl/opscenter.der

SSL証明書ファイル形式の詳細については、「SSL証明書の変換」を参照してください。

手順

  1. install_location/sslディレクトリーに既にSSLファイルがある場合は、自動的に再作成されません。setup.pyを実行する前に、そのディレクトリーから古いSSLファイルを削除してください。
  2. OpsCenter setup.pyスクリプトを実行します。 
    sudo install_location/bin/jython/setup.py
    OpsCenterデーモンとDataStaxエージェントが相互に通信するために使用されるSSLキーと証明書がinstall_location/sslディレクトリーに生成されます。
  3. エディターでopscenterd.confを開き、[agents]セクションを追加してuse_sslオプションをtrueに設定します。 
    sudo vi install_location/conf/opscenterd.conf
    [agents]
use_ssl = true
ssl_keyfile =  install_location/ssl/opscenter.key
ssl_certfile = install_location/ssl/opscenter.der
agent_keyfile = install_location/ssl/agentKeyStore
agent_keyfile_raw = install_location/ssl/agentKeyStore.key
agent_certfile = install_location/ssl/agentKeyStore.der
    注: agent_keyfile_rawファイルはHA設定でのみ使用されます。
  4. OpsCenterデーモンを再起動します
  5. DataStaxエージェントが既にデプロイされているクラスターに接続する必要がある場合は、各ノードにログインして、 address.yaml ファイルを再構成します。すべてのノードでDataStaxエージェントを再構成します。
    ヒント: すべてのノードの構成ファイルを手動で編集したくない場合は、「DataStaxエージェントの自動インストール」の手順に従ってください。
    1. クラスターの各ノードで、マシンからinstall_location/ssl/agentKeyStoreagent_install_location/ssl/agentKeyStoreにコピーします。 
      scp /opt/opscenter/ssl/agentKeyStore user@node:agent_install_location/ssl/agentKeyStore
      ここで、userはノード上のユーザーIDで、nodeはノードのホスト名かIPアドレスのいずれかです。
    2. sshを使用してクラスター内の各ノードにログインします。 
      ssh user@node
      ここで、userはノード上のユーザーIDで、nodeはノードのホスト名かIPアドレスのいずれかです。
    3. address.yamlファイルを編集して、use_sslの値を1に変更します。 
      sudo vi /var/lib/datastax-agent/conf/address.yaml
      use_ssl: 1
      キーストアおよびトラストストアのファイルがデフォルトとは異なる場所にある場合、次のパラメーターを定義して、キーストアとトラストストアの場所を指定し、それぞれのパスワードも指定します。
      opscenter_ssl_truststore: /etc/datastax-agent/key/dse-truststore.jks
opscenter_ssl_truststore_password: truststore_password
opscenter_ssl_keystore: /etc/datastax-agent/key/keystore.jks
opscenter_ssl_keystore_password: keystore_password
    4. DataStaxエージェントを再起動します。 
      sudo install_location/bin/datastax-agent
  6. opscenterdとすべてのDataStaxエージェントを構成して再起動したら、[Agent Status]タブで接続が適切であることを確認します。