Опциональная защищенная связь между ClickHouse и Zookeeper

Not supported in ClickHouse Cloud

примечание

Эта страница не применима к ClickHouse Cloud. Процедура, задокументированная здесь, автоматизирована в службах ClickHouse Cloud.

Вы должны указать ssl.keyStore.location, ssl.keyStore.password и ssl.trustStore.location, ssl.trustStore.password для связи с клиентом ClickHouse по SSL. Эти параметры доступны начиная с версии Zookeeper 3.5.2.

Вы можете добавить zookeeper.crt в доверенные сертификаты.

sudo cp zookeeper.crt /usr/local/share/ca-certificates/zookeeper.crt
sudo update-ca-certificates

Секция клиента в config.xml будет выглядеть следующим образом:

<client>
    <certificateFile>/etc/clickhouse-server/client.crt</certificateFile>
    <privateKeyFile>/etc/clickhouse-server/client.key</privateKeyFile>
    <loadDefaultCAFile>true</loadDefaultCAFile>
    <cacheSessions>true</cacheSessions>
    <disableProtocols>sslv2,sslv3</disableProtocols>
    <preferServerCiphers>true</preferServerCiphers>
    <invalidCertificateHandler>
        <name>RejectCertificateHandler</name>
    </invalidCertificateHandler>
</client>

Добавьте Zookeeper в конфигурацию ClickHouse с некоторым кластером и макросами:

<clickhouse>
    <zookeeper>
        <node>
            <host>localhost</host>
            <port>2281</port>
            <secure>1</secure>
        </node>
    </zookeeper>
</clickhouse>

Запустите clickhouse-server. В логах вы должны увидеть:

<Trace> ZooKeeper: initialized, hosts: secure://localhost:2281

Префикс secure:// указывает на то, что соединение защищено с помощью SSL.

Для уверенности в том, что трафик зашифрован, запустите tcpdump на защищенном порту:

tcpdump -i any dst port 2281 -nnXS

И выполните запрос в clickhouse-client:

SELECT * FROM system.zookeeper WHERE path = '/';

При незашифрованном соединении вы увидите в выводе tcpdump что-то вроде этого:

..../zookeeper/quota.

При зашифрованном соединении вы не должны видеть этого.