Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal

Konfigurieren benutzerdefinierter Truststore- oder Keystore-Dateien für Jobs und Routen

Konfigurieren Sie benutzerdefinierte Truststore- oder Keystore-Dateien für Datenintegrations-Tasks (einschließlich Big Data), Datenservices und Routen, um deren Verbindungen mit externen Systemen zu authentifizieren.

In diesem Beispiel werden Datenintegrationsjobs verwendet, um die Konfiguration zu demonstrieren. Das gleiche Verfahren gilt auch für Datenservices und Routen.

Vorbereitungen

  • Die benutzerdefinierten Ressourcendefinitionen dynamic-engine-crd müssen mit dem Helm-Chart oci://ghcr.io/talend/helm/dynamic-engine-crd installiert worden sein. Führen Sie andernfalls die folgenden Befehle für die Installation aus:
    1. Suchen Sie die zu verwendende Diagrammversion:
      • Führen Sie den folgenden Helm-Befehl aus: 
        helm show chart oci://ghcr.io/talend/helm/dynamic-engine-crd --version <engine_version>
      • Sehen Sie die Version direkt über Talend Management Console ein oder suchen Sie im Dynamic Engine Änderungs-Log nach der in Ihrer Dynamic Engine-Version enthaltenen Diagrammversion.
      • Verwenden Sie einen API-Aufruf an den Dynamic Engine-Versionsendpunkt.
    2. Führen Sie den folgenden Befehl aus, um das Helm-Chart einer bestimmten Version zu installieren:
      helm install dynamic-engine-crd oci://ghcr.io/talend/helm/dynamic-engine-crd --version <helm_chart_version>
      Ersetzen Sie <helm_chart_version> durch die Chart-Version, die von Ihrer Dynamic Engine-Version unterstützt wird.

      Wenn die Version nicht angegeben wird, installieren Sie die neueste verfügbare dynamic-engine-crd-Diagrammversion.

  • Ihre Dynamic Engine muss implementiert worden sein. Führen Sie andernfalls den folgenden Befehl aus, um sie zu implementieren:
    helm install dynamic-engine -f <engine-id>-helm-values/<engine-id>-values.yaml oci://ghcr.io/talend/helm/dynamic-engine
    Dies ist die Standardbereitstellung, da die aktuelle Anpassung nur auf der Dynamic Engine-Umgebungsseite benötigt wird. Aus diesem Grund wurde keine Anpassung für die Dynamic Engine-Instanz konfiguriert.

Warum und wann dieser Vorgang ausgeführt wird

Wenn Ihre Jobs oder Routen eine Verbindung zu externen Systemen herstellen müssen, die TLS-basierte Authentifizierung erfordern, können Sie einen benutzerdefinierten Truststore bereitstellen, um das Zertifikat des externen Systems zu validieren, bzw. sowohl eine Truststore- als auch eine Keystore-Datei, wenn das externe System eine Authentifizierung durch ein Client-Zertifikat erfordert.
InformationshinweisAnmerkung: Routen oder Datenservices:

Diese Konfiguration gilt nur für ausgehende Verbindungen zu externen Systemen. Sie aktiviert kein HTTPS für eingehende Client-Anfragen an Routen oder Datenservices. Die hier konfigurierten Keystores und Truststores werden verwendet, wenn die Komponenten in Ihren Routen oder Datenservices als TLS-Clients für externe Systeme fungieren, nicht zum Bereitstellen der Komponenten selbst über HTTPS.

Prozedur

  1. Entpacken Sie auf dem Kubernetes-Rechner die Helm-Implementierungs-ZIP-Datei, die Sie zuvor heruntergeladen haben.
  2. Erstellen Sie die Truststore- oder Keystore-Datei, die von Ihren Datenintegrationsjobs verwendet werden soll.

    Example

    Beispiel: Ihre Jobs müssen eine Verbindung zu einer MySQL-Datenbank herstellen und der benutzerdefinierte Truststore muss die Serveridentität verifizieren. Sie können das Befehlszeilendienstprogramm keytool verwenden, um die Truststore- und Keystore-Dateien zu generieren. Dann muss der von Ihren Jobs verwendete Truststore das Zertifikat der Zertifizierungsstelle enthalten, mit dem das MySQL-Serverzertifikat signiert wurde, damit Ihre Dynamic Engine-Umgebung als MySQL-Client die Serveridentität validieren kann.

    Anweisungen zu keytool finden Sie unter Keytool. Anweisungen zum Einrichten der SSL-Verbindung für MySQL finden Sie in der MySQL-Dokumentation.

    InformationshinweisAnmerkung: Informationen zu Keystore und Truststore:
    • Server-Keystore und Client-Truststore: Im Server-Keystore werden der private Schlüssel und die Zertifikatskette des Servers gespeichert. Der Client-Truststore muss entweder das signierte Zertifikat des Servers (mit keytool -export aus dem Server-Keystore exportiert) oder das Zertifikat der Zertifizierungsstelle enthalten, mit dem das Serverzertifikat signiert wurde, damit der Client die Serveridentität validieren kann.

      Zur Laufzeit verifiziert der TLS-Stack (Transport Layer Security) des Clients, ob dem Serverzertifikat vertraut werden kann. Hierzu folgt er der Zertifikatskette des Servers über etwaige Zwischenzertifikate, bis ein Zertifikat gefunden wird, dem im Truststore bereits vertraut wird. Wenn diese Verifizierung fehlschlägt, wird die sichere Verbindung (Handshake) abgebrochen. Der Client stellt also nur eine Verbindung her, wenn er das Serverzertifikat mit einem Eintrag im Truststore abgleichen kann.

  3. Erstellen Sie eine benutzerdefinierte Wertedatei, um die Truststore-Datei oder sowohl die Truststore- als auch den Keystore-Dateien in der Dynamic Engine-Umgebung bereitzustellen.

    Example

    In diesem Beispiel wird nur die Truststore-Datei verwendet.
    STORE_TYPE=truststore
STORE_FILE=${keystoreFolder}/job-truststore.pc12
STORE_PASSWORD=${jobTruststorePassword}
STORE_FILE_TYPE=$(keytool -list -keystore "$STORE_FILE" \
-storepass "$STORE_PASSWORD" 2>/dev/null | awk -F': ' '/Keystore type/{print $2}')
cat <<EOF > $DYNAMIC_ENGINE_ENVIRONMENT_ID-custom-$STORE_TYPE-values.yaml
configuration:
  $STORE_TYPE:
    enabled: true
    data: $(base64 -i $STORE_FILE | tr -d '\n')
    password: $STORE_PASSWORD
    type: $STORE_FILE_TYPE
EOF
    Ersetzen Sie die Variablenwerte wie für Ihre Umgebung und Anmeldeinformationen erforderlich.
    InformationshinweisTipp: In manchen Fällen müssen Ihre Jobs sowohl einen Trustrore (zum Überprüfen der Identität des externen Systems) als auch einen Keystore (zum Authentifizieren bei diesem externen System) angeben. In diesen Szenarios erstellen Sie eine Wertedatei sowohl für den Truststore als auch für den Keystore:
    # Create the truststore values file
STORE_TYPE=truststore
STORE_FILE=${keystoreFolder}/job-truststore.pc12
STORE_PASSWORD=${jobTruststorePassword}
STORE_FILE_TYPE=$(keytool -list -keystore "$STORE_FILE" \
-storepass "$STORE_PASSWORD" 2>/dev/null | awk -F': ' '/Keystore type/{print $2}')
cat <<EOF > $DYNAMIC_ENGINE_ENVIRONMENT_ID-custom-$STORE_TYPE-values.yaml
configuration:
  $STORE_TYPE:
    enabled: true
    data: $(base64 -i $STORE_FILE | tr -d '\n')
    password: $STORE_PASSWORD
    type: $STORE_FILE_TYPE
EOF  

# Create the values file forkeystore
STORE_TYPE=keystore
STORE_FILE=${keystoreFolder}/job-keystore.jks
STORE_PASSWORD=${jobKeystorePassword}
STORE_FILE_TYPE=$(keytool -list -keystore "$STORE_FILE" \
-storepass "$STORE_PASSWORD" 2>/dev/null | awk -F': ' '/Keystore type/{print $2}')
cat <<EOF > $DYNAMIC_ENGINE_ENVIRONMENT_ID-custom-$STORE_TYPE-values.yaml
configuration:
  $STORE_TYPE:
    enabled: true
    data: $(base64 -i $STORE_FILE | tr -d '\n')
    password: $STORE_PASSWORD
    type: $STORE_FILE_TYPE
EOF
  4. Installieren oder aktualisieren Sie das Dynamic Engine-Umgebungsdiagramm mit der benutzerdefinierten Wertedatei. 
    helm install dynamic-engine-environment-$DYNAMIC_ENGINE_ENVIRONMENT_ID -f $DYNAMIC_ENGINE_ENVIRONMENT_ID-values.yaml  \
 -f $DYNAMIC_ENGINE_ENVIRONMENT_ID-custom-truststore-values.yaml \
 oci://ghcr.io/talend/helm/dynamic-engine-environment \
 --version $DYNAMIC_ENGINE_VERSION

    Wie zuvor erläutert, wird hier nur die Truststore-Wertedatei benötigt.

    Verwenden Sie für Upgrades helm upgrade anstelle von helm install.
    InformationshinweisTipp: Wenn die Jobs sowohl die Truststore- als auch die Keystore-Datei angeben müssen, führen Sie den folgenden Befehl aus, um beide Wertedateien gleichzeitig anzuwenden:
    helm install dynamic-engine-environment-$DYNAMIC_ENGINE_ENVIRONMENT_ID -f $DYNAMIC_ENGINE_ENVIRONMENT_ID-values.yaml  \
 -f $DYNAMIC_ENGINE_ENVIRONMENT_ID-custom-truststore-values.yaml \
  -f $DYNAMIC_ENGINE_ENVIRONMENT_ID-custom-keystore-values.yaml \
 oci://ghcr.io/talend/helm/dynamic-engine-environment \
 --version $DYNAMIC_ENGINE_VERSION
  5. Überprüfen Sie, dass die Dynamic Engine-Umgebung bereit ist und die Datenintegrationsjobs auf die benutzerdefinierte Truststore- oder Keystore-Datei zugreifen können.
    • Überprüfen Sie, ob alle Umgebungsdienste ausgeführt werden.
    • Starten Sie einen Datenintegrationsjob und bestätigen Sie, dass er eine Verbindung zu den erforderlichen externen Systemen anhand der benutzerdefinierten Truststore- oder Keystore-Datei herstellen kann.

Ergebnisse

Wenn die Implementierung abgeschlossen ist, verwenden Ihre Datenintegrationsjobs in der Dynamic Engine-Umgebung den angegebenen Truststore oder Keystore für sichere Verbindungen.

InformationshinweisTipp: Um Datenintegrationsjobs sicher mit externen Systemen zu verbinden, müssen Sie nur die Truststore- oder Keystore-Datei auf Umgebungsebene zu konfigurieren. Diese Datei enthält die Zertifikatskette, die TLS-Authentifizierung bei externen Systemen zulässt. Es sind keine Änderungen an den Jobs oder in Studio erforderlich.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!

Geben Sie hier Ihr Feedback ab