Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Aktivieren Sie die SSL-Kommunikation für Ihre Remote Engine

Richten Sie zwischen dem JobServer-Server und dem JobServer-Client mit einer Remote Engine eine sichere Verbindung ein.

Ab Version Talend Remote Engine2.13.13 kann die SSL-Kommunikation während der Engine-Installation automatisch eingerichtet oder später geändert werden. Das SSL-Einrichtung sichert den Datenverkehr zwischen der Engine und ihrem JobServer. Weitere Informationen zu der automatischen SSL-Einrichtung mit dem Installationsprogramm finden Sie unter Automatische Installation der Remote Engine.

Sowohl der JobServer-Server als auch der entsprechende Client sind spezifisch für Talend Remote Engine und in Ihrer Engine installiert. Wenn eine Remote Engine einen Request zur Ausführung einer Task von Talend Management Console empfängt, implementiert der JobServer-Client Artefakte auf dem JobServer-Server. Die von Ihnen eingerichtete SSL-Verbindung sichert dann den Datenverkehr zwischen den zwei JobServer-Seiten.

Die Verbindung zwischen Talend Management Console und Talend Remote Engine wird standardmäßig gesichert und nicht von dieser SSL-Konfiguration beeinflusst.
InformationshinweisTipp: Talend Remote Engine und Talend Studio:

Wenn Sie Talend Remote Engine als Remote-Ausführungsserver verwenden, um Jobs remote von Talend Studio auszuführen oder zu debuggen, was normalerweise bei einer Entwicklungsumgebung der Fall ist, und wenn SSL auch für Ihre Engine in dieser Umgebung aktiviert ist, ist für die Integration von Talend Studio eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter „Konfigurieren Sie Talend Studio als SSL-Client von Talend Remote Engine für Remote- und Debug-Läufe“.

Wenn Sie Talend Management Console nur zum Verwalten und Ausführen von Artefakten verwenden, wird die Kommunikation zwischen Talend Management Console und Talend Remote Engine automatisch gesichert. Talend Studiomuss nicht direkt mit Talend Remote Engine kommunizieren.

Warum und wann dieser Vorgang ausgeführt wird

Das Verfahren in diesem Abschnitt erläutert, wie SSL im Hintergrund konfiguriert wird, sodass Sie bei Bedarf manuelle Änderungen vornehmen können, beispielsweise die Integration von Talend Studio in die SSL-Kommunikation. Diese Liste bietet eine kurze Zusammenfassung dieser Änderungen:
  • Um den Vorgang zu vereinfachen, verwenden Sie den JobServer-Client-Keystore der Engine und den Truststore für Studio erneut.
  • Wenn Sie SSL nach der Installation ändern, müssen Sie die erforderlichen Keystores und Truststores manuell generieren und die folgenden Konfigurationsdateien aktualisieren:
    • <RemoteEngineInstallationDirectory>/etc/org.talend.remote.jobserver.server.cfg
    • <RemoteEngineInstallationDirectory>/etc/system.properties

Prozedur

  1. Öffnen Sie die Datei <RemoteEngineInstallationDirectory>/etc/org.talend.remote.jobserver.server.cfg.
    Ändern oder bestätigen Sie die folgenden Parameter, um SSL für den JobServer-Server zu aktivieren:
    # Use SSL (Secure Sockets Layer) for establishing an encrypted link between the JobServer and its clients
    org.talend.remote.jobserver.server.TalendJobServer.USE_SSL=${org.talend.remote.client.ssl.force}
    
    # Set to true to enforce certificate based client authorization for JobServer
    org.talend.remote.server.ssl.authenticate=true
    
    org.talend.remote.server.ssl.keyStore=${karaf.base}/etc/keystores/jobserver-keystore.p12
    org.talend.remote.server.ssl.keyStoreType=PKCS12
    org.talend.remote.server.ssl.keyStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
    org.talend.remote.server.ssl.keyPassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
    
    org.talend.remote.server.ssl.trustStore=${karaf.base}/etc/keystores/jobserver-truststore.p12
    org.talend.remote.server.ssl.trustStoreType=PKCS12
    org.talend.remote.server.ssl.trustStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
    
    # avoid TLSv < 1.2 for Jobserver if possible for security reasons
    org.talend.remote.server.ssl.enabled.protocols=TLSv1.2,TLSv1.3

    Standardmäßig werden alle Keystore- und Truststore-Dateien in RemoteEngineInstallationDirectory>/etc/keystores gespeichert und für alle Stores wird mithilfe der Umgebungsvariablen TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD ein einziges Kennwort festgelegt. Diese Konfiguration vereinfacht die SSL-Verwaltung.

  2. Öffnen Sie die Datei <RemoteEngineInstallationDirectory>/etc/system.properties.
    Ändern oder bestätigen Sie die folgenden Parameter, um SSL für den JobServer-Client zu aktivieren:
    # JobServer client SSL configuration
    org.talend.remote.client.ssl.force=true
    org.talend.remote.client.ssl.keyStore=${karaf.base}/etc/keystores/jobserver-client-keystore.p12
    org.talend.remote.client.ssl.keyStoreType=PKCS12
    org.talend.remote.client.ssl.keyStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
    org.talend.remote.client.ssl.keyPassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
    org.talend.remote.client.ssl.trustStore=${karaf.base}/etc/keystores/jobserver-client-truststore.p12
    org.talend.remote.client.ssl.trustStoreType=PKCS12
    org.talend.remote.client.ssl.trustStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
    org.talend.remote.client.ssl.disablePeerTrust=false
    org.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3
  3. Starten Sie die Engine neu, um die Änderungen zu übernehmen.

Konfigurieren Sie Talend Studio als SSL-Client von Talend Remote Engine für Remote- und Debug-Läufe

Stellen Sie eine sichere Verbindung von Talend Studio zu einem Talend Remote Engine JobServer über SSL her, indem Sie die erforderlichen Keystore- und Truststore-Einstellungen konfigurieren.

Wenn SSL auf dem JobServer der Engine aktiviert ist, muss Talend Studio als SSL-Client konfiguriert werden, um für Remote-Ausführungs- und Debugvorgänge sicher kommunizieren zu können. Sie können dieselben Keystore- und Truststore-Dateien wie die Engine verwenden und deren Speicherorte und Passwörter in der Startkonfiguration von Talend Studio angeben.

Wenn Sie Talend Remote Engine nicht für die Remote-Ausführung und das Remote-Debugging verwenden müssen und nur Artefakte zu Talend Management Console veröffentlichen, um die Aufgabenausführung von dort aus zu verwalten, überspringen Sie diesen Abschnitt, da Ihr Studio nicht direkt mit Talend Remote Engine kommunizieren muss.

Procedure

  1. Kopieren Sie die erforderlichen Keystore- und Truststore-Dateien von Talend Remote Engine auf Ihren Talend Studio Computer.

    Platzieren Sie jobserver-client-keystore.p12 und jobserver-client-truststore.p12 in einem sicheren Verzeichnis.

  2. Bearbeiten Sie die Startkonfigurationsdatei von Talend Studio, um SSL-Systemeigenschaften anzugeben: studio/Talend-Studio-linux-gtk-x86_64.ini oder studio/Talend-Studio-gtk-aarch64.ini.

    Fügen Sie die folgenden Zeilen hinzu und passen Sie die Dateipfade und das Passwort nach Bedarf an:

    -Dorg.talend.remote.client.ssl.force=true
    -Dorg.talend.remote.client.ssl.keyStore=<client-keystore-path>
    -Dorg.talend.remote.client.ssl.keyStoreType=PKCS12
    -Dorg.talend.remote.client.ssl.keyStorePassword=<client-keystore-password>
    -Dorg.talend.remote.client.ssl.keyPassword=<client-keystore-password>
    -Dorg.talend.remote.client.ssl.trustStore=<client-truststore-path>
    -Dorg.talend.remote.client.ssl.trustStoreType=PKCS12
    -Dorg.talend.remote.client.ssl.trustStorePassword=<client-truststore-password>
    -Dorg.talend.remote.client.ssl.disablePeerTrust=false
    -Dorg.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3 
    Wenn Sie das vorherige Verfahren befolgt oder das Installationsprogramm zum automatischen Aktivieren von SSL für Talend Remote Engine verwendet haben, sollte für alle Stores ein einziges Kennwort verwendet und in einer Umgebungsvariablen TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD auf dem Computer Talend Remote Engine abgelegt worden sein.
  3. Wenn Studio geöffnet ist, starten Sie es neu.

    Dadurch wird sichergestellt, dass die neuen SSL-Einstellungen angewendet werden.

Results

Sie können jetzt einen Job per Remote-Zugriff auf dem Ziel Talend Remote Engine mit SSL-fähiger Kommunikation ausführen oder debuggen.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!