Remote Engineとそのジョブサーバー間のSSL通信を有効化

Remote Engine内のJobServerサーバーとJobServerクライアントの間に安全な接続を設定します。

Talend Remote Engine v2.13.13より、エンジンのインストール時にSSL通信を自動的に設定したり、後で変更したりできるようになりました。SSLを設定することで、エンジンとJobServer間のトラフィックが保護されます。インストーラーによる自動SSL設定の詳細は、Remote Engineを自動でインストールをご覧ください。

JobServerサーバーとそのクライアントの両方がTalend Remote Engineに固有のものであり、エンジン内にインストールされます。Remote EngineがTalend Management Consoleからタスク実行のリクエストを受信すると、JobServerクライアントはアーティファクトをJobServerサーバーにデプロイします。そのため、確立しようとしているSSL接続はこの2つのJobServer側の間のトラフィックを保護します。

Talend Management ConsoleとTalend Remote Engineの間の接続はデフォルトで保護されており、このSSL設定の影響は受けません。

ヒント: Talend Remote EngineとTalend Studio:

Talend Remote Engineをリモート実行サーバーとして使用し、一般的には開発環境でTalend Studioからリモートでジョブを実行したりデバッグしたりする場合、またこの環境でエンジンのSSLも有効になっている場合は、Talend Studio統合のために追加の設定が必要です。詳細は、リモート実行とデバッグ実行のためにTalend StudioをTalend Remote EngineへのSSLクライアントとして設定をご覧ください。

Talend Management Consoleをアーティファクトの管理と実行のみに使用する場合、Talend Management ConsoleとTalend Remote Engine間の通信は自動的に保護されます。Talend StudioがTalend Remote Engineと直接通信する必要はありません。

このタスクについて

このセクションの手順では、SSLがバックグラウンドでどのように設定されているかを説明しますので、Talend StudioのSSL通信への統合など、必要に応じて手動で修正できます。以下のリストは、それらの修正点の簡単な要約です:

プロセスを簡素化するため、エンジンのJobServerクライアントKeystoreとTruststoreをStudio用に再利用します。
インストール後にSSLを変更する場合は、必要なKeystoreとTruststoreを手動で生成し、以下の設定ファイルをアップデートする必要があります:
- <RemoteEngineInstallationDirectory>/etc/org.talend.remote.jobserver.server.cfg
- <RemoteEngineInstallationDirectory>/etc/system.properties

手順

<RemoteEngineInstallationDirectory>/etc/org.talend.remote.jobserver.server.cfgファイルを開きます。

以下のパラメーターを変更または確定し、JobServerサーバーのSSLを有効化します:

# Use SSL (Secure Sockets Layer) for establishing an encrypted link between the JobServer and its clients
org.talend.remote.jobserver.server.TalendJobServer.USE_SSL=${org.talend.remote.client.ssl.force}

# Set to true to enforce certificate based client authorization for JobServer
org.talend.remote.server.ssl.authenticate=true

org.talend.remote.server.ssl.keyStore=${karaf.base}/etc/keystores/jobserver-keystore.p12
org.talend.remote.server.ssl.keyStoreType=PKCS12
org.talend.remote.server.ssl.keyStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.server.ssl.keyPassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}

org.talend.remote.server.ssl.trustStore=${karaf.base}/etc/keystores/jobserver-truststore.p12
org.talend.remote.server.ssl.trustStoreType=PKCS12
org.talend.remote.server.ssl.trustStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}

# avoid TLSv < 1.2 for Jobserver if possible for security reasons
org.talend.remote.server.ssl.enabled.protocols=TLSv1.2,TLSv1.3

デフォルトでは、KeystoreファイルとTruststoreファイルがすべてRemoteEngineInstallationDirectory>/etc/keystoresに保存され、TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD環境変数を使ってすべてのストアに1つのパスワードが設定されます。この設定によって、SSL管理が簡素化されます。

<RemoteEngineInstallationDirectory>/etc/system.propertiesファイルを開きます。

以下のパラメーターを変更または確定し、JobServerクライアントのSSLを有効化します:

# JobServer client SSL configuration
org.talend.remote.client.ssl.force=true
org.talend.remote.client.ssl.keyStore=${karaf.base}/etc/keystores/jobserver-client-keystore.p12
org.talend.remote.client.ssl.keyStoreType=PKCS12
org.talend.remote.client.ssl.keyStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.client.ssl.keyPassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.client.ssl.trustStore=${karaf.base}/etc/keystores/jobserver-client-truststore.p12
org.talend.remote.client.ssl.trustStoreType=PKCS12
org.talend.remote.client.ssl.trustStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.client.ssl.disablePeerTrust=false
org.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3

エンジンを再起動して変更を適用させます。

リモート実行とデバッグ実行のためにTalend StudioをTalend Remote EngineへのSSLクライアントとして設定

必要なKeystoreとTruststoreの設定を行うことで、SSLを使ってTalend StudioをTalend Remote Engine JobServerに安全に接続させます。

エンジンのJobServerでSSLが有効になっている場合は、リモート実行やデバッグ操作で安全に通信できるよう、Talend StudioをSSLクライアントとして設定する必要があります。エンジンと同じKeystoreファイルとTruststoreファイルを使用できるほか、Talend Studioのスタートアップ設定でそれらの場所とパスワードも指定できます。

Talend Remote Engineを使ってリモート実行やデバッグ操作を行う必要がなく、Talend Management Consoleにアーティファクトを公開してそこからタスクの実行を管理するだけであれば、お使いのStudioはTalend Remote Engineと直接通信する必要がないので、このセクションをスキップしてください。

Procedure

Talend Remote Engineからお使いのTalend Studioマシンに、必要なKeystoreファイルとTruststoreファイルをコピーします。

jobserver-client-keystore.p12とjobserver-client-truststore.p12を安全なディレクトリーに配置します。
Talend Studioの起動設定ファイルを編集し、SSLシステムプロパティを指定します:
studio/Talend-Studio-linux-gtk-x86_64.iniとstudio/Talend-Studio-gtk-aarch64.iniのいずれかです。

このファイルに以下の行を追加し、必要に応じてファイルパスとパスワードを変更します:
```
-Dorg.talend.remote.client.ssl.force=true
-Dorg.talend.remote.client.ssl.keyStore=<client-keystore-path>
-Dorg.talend.remote.client.ssl.keyStoreType=PKCS12
-Dorg.talend.remote.client.ssl.keyStorePassword=<client-keystore-password>
-Dorg.talend.remote.client.ssl.keyPassword=<client-keystore-password>
-Dorg.talend.remote.client.ssl.trustStore=<client-truststore-path>
-Dorg.talend.remote.client.ssl.trustStoreType=PKCS12
-Dorg.talend.remote.client.ssl.trustStorePassword=<client-truststore-password>
-Dorg.talend.remote.client.ssl.disablePeerTrust=false
-Dorg.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3 
```
以前の手順に従った場合、またはインストーラーを使ってTalend Remote Engineを自動的にSSLを有効化した場合は、すべてのストアで1つのパスワードが設定されており、Talend Remote EngineマシンのTMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORDという環境変数に保存されています。
Studioが開いている場合は、再起動します。

これにより、新しいSSL設定が確実に適用されるようになります。

Results

SSL通信が有効なターゲットTalend Remote Engineで、リモートによるジョブの実行やデバッグができるようになります。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。

こちらにフィードバックをお寄せください