跳至主要内容

ClickHouse 和 Zookeeper 之间的可选安全通信

注意

此页面不适用于 ClickHouse 云。此处记录的过程在 ClickHouse 云服务中是自动化的。

您应该为通过 SSL 与 ClickHouse 客户端通信指定 ssl.keyStore.locationssl.keyStore.passwordssl.trustStore.locationssl.trustStore.password。这些选项从 Zookeeper 版本 3.5.2 开始可用。

您可以将 zookeeper.crt 添加到受信任的证书中。

sudo cp zookeeper.crt /usr/local/share/ca-certificates/zookeeper.crt
sudo update-ca-certificates

config.xml 中的客户端部分将如下所示

<client>
<certificateFile>/etc/clickhouse-server/client.crt</certificateFile>
<privateKeyFile>/etc/clickhouse-server/client.key</privateKeyFile>
<loadDefaultCAFile>true</loadDefaultCAFile>
<cacheSessions>true</cacheSessions>
<disableProtocols>sslv2,sslv3</disableProtocols>
<preferServerCiphers>true</preferServerCiphers>
<invalidCertificateHandler>
<name>RejectCertificateHandler</name>
</invalidCertificateHandler>
</client>

使用一些集群和宏将 Zookeeper 添加到 ClickHouse 配置中

<clickhouse>
<zookeeper>
<node>
<host>localhost</host>
<port>2281</port>
<secure>1</secure>
</node>
</zookeeper>
</clickhouse>

启动 clickhouse-server。在日志中您应该会看到

<Trace> ZooKeeper: initialized, hosts: secure://127.0.0.1:2281

前缀 secure:// 表示连接由 SSL 保护。

要确保流量已加密,请在安全端口上运行 tcpdump

tcpdump -i any dst port 2281 -nnXS

并在 clickhouse-client 中查询

SELECT * FROM system.zookeeper WHERE path = '/';

在未加密的连接上,您将在 tcpdump 输出中看到类似以下内容

..../zookeeper/quota.

在加密连接上,您不应该看到此内容。