这是本节的多页打印视图。
点击此处打印.
返回本页常规视图.
配置管理控制台
完成 安装管理控制台 (MC)中的步骤后,需要通过客户端浏览器连接进行配置。MC 配置助手可指导完成创建 Linux
MC super 管理员帐户、存储位置和 MC 需要运行的其他设置的过程。配置过程中提供的信息将会存储在 /opt/vconsole/config/console.properties 文件中。
如果在配置助手结束后需要更改设置(例如端口分配),请使用主页 (Home) > MC 设置 (MC Settings) 页面。
如何配置 MC
-
打开浏览器会话。
-
输入在其上安装 MC 的服务器的 IP 地址或主机名,包括默认的 MC 端口 5450。例如,使用 IP 地址输入以下内容:
https://10.20.30.40:5450/
或者,输入以下内容作为主机名:
https://hostname:5450/
-
按照配置助手执行操作。
关于 MC Super 管理员的身份验证
在配置过程的最后一步,需要选择 MC Super 管理员的身份验证方法。可以决定由 MC 对 MC super 进行身份验证并完成该过程,也可以选择 LDAP。
如果选择 LDAP,请针对新创建的 MC super 管理员提供以下信息:
-
企业 LDAP 服务主机(IP 地址或主机名)。
-
LDAP 服务器运行端口(默认为 389)。
-
用于基本搜索/查找/身份验证条件的 LDAP DN(可分辨名称)。至少指定 DC(域组件)字段。例如: dc=vertica, dc=com 生成唯一的组织标识符,如企业 Web URL vertica.com
-
默认的组织单位 (ou) 搜索路径。例如:ou=sales, ou=engineering。
-
用户名 (uid)、公用名 (cn) 的搜索属性,等等。例如 uid=jdoe, cn=Jane Doe。
-
MC super 管理员的绑定 DN 和密码。
-
大多数情况下,需要提供“绑定为管理员 (Bind as administrator)”字段、用于建立所有 LDAP 操作(例如搜索)的 LDAP 服务连接的信息。MC 管理员只要拥有搜索权限,即可使用自己的 LDAP 凭据而不是管理员的用户名和密码。
如果选择匿名绑定
除非明确地将 LDAP 服务器配置为拒绝匿名捆绑,否则,如果您为 MC 管理员选择了“匿名捆绑”,则底层 LDAP 协议不会导致 MC 的 配置身份验证进程失败。在 MC 上对 LDAP 身份验证使用匿名捆绑之前,请先确保您的 LDAP 服务器已配置为显式禁用/启用此选项。有关详细信息,请参阅 Infusion Technology Solutions 上的文章以及有关访问控制的 OpenLDAP 文档。
后续操作
单击完成 (Finish) 后不久应该会在浏览器中看到一个状态。但是,可能会在几秒钟内只看到一个空白页面。在此短暂的过程中,MC 以本地用户“root”身份运行足够绑定到端口号 5450 的时间。然后,MC 切换到刚刚创建的
MC super 管理员帐户,重新启动 MC,并显示 MC 登录页面。
管理客户端连接
连接到 MC 的每个客户端会话都使用来自 MaxClientSessions(一个数据库配置参数)的连接。此参数决定了在单个数据库群集节点上可以运行的最大会话数。有时映射到同一数据库帐户的多个 MC 用户会同时监控“概览和活动 (Overview and Activity)”页。
提示
您可以在 MC 监控的数据库上增大
MaxClientSessions 的值,以处理额外会话。有关详细信息,请参阅
管理会话。
1 - 更改 MC 端口或代理端口
配置 MC 时,配置向导会设置以下默认端口:
如果需要更改 MC 默认端口
需要更改为 MC 或其代理分配的默认端口时,就会出现这样的情况。例如,某个默认端口可能在您的 Vertica 群集中不可用,或者 MC 和代理之间遇到连接问题。以下主题介绍了如何更改为 MC 或其代理分配的端口。
更改 MC 端口
请使用此步骤将 MC 的应用程序服务器的默认端口从 5450 更改为其他值。
-
打开 Web 浏览器,以具有 MC ADMIN 权限的用户身份连接到 MC。
-
在 MC 主页上,导航至 MC 设置 (MC Settings) > 配置 (Configuration),并将应用程序服务器运行端口 (Application server running port) 的值从 5450 更改为新值。
-
在更改端口对话框中,单击确定 (OK)。
-
重新启动 MC。
-
使用新端口重新连接浏览器会话。例如,如果将端口从 5450 更改为 5555,请使用以下格式之一:
https://00.00.00.00:5555/
或者
https://hostname:5555/
更改代理端口
更改代理端口要分两步进行:在命令行修改 config.py 文件,然后通过浏览器修改 MC 设置。
更改 config.py 中的代理端口
-
以 root 身份登录任意群集节点,然后更改代理目录:
$ cd /opt/vertica/oss/python3/lib/python3.9/site-packages/vertica/agent/
-
使用任意文本编辑器打开 config.py。
-
向下滚动到 agent_port = 5444 条目,并将 5444 替换为其他端口号。
-
保存并关闭该文件。
-
将 config.py 复制到群集所有节点的 /opt/vertica/oss/python3/lib/python3.9/site-packages/vertica/agent/ 目录。
-
运行以下命令,重新启动代理进程:
$ /etc/init.d/vertica_agent restart
注意
如果您使用的是 Red Hat Enterprise Linux/CentOS 7,则使用以下命令:
$ /opt/vertica/sbin/vertica_agent restart
-
在复制了 config.py 文件的每个群集节点上重复(以 root 身份)步骤 6。
在 MC 上更改代理端口
-
打开 Web 浏览器,以具有 MC ADMIN 权限的用户身份连接到 MC。
-
导航至 MC 设置 (MC Settings) > 配置 (Configuration)。
-
将默认 Vertica 代理端口从 5444 更改为您在 config.py 文件中指定的新值。
-
单击应用 (Apply),然后单击完成 (Done)。
-
重新启动 MC,使 MC 可以连接到位于新端口的代理。请参阅重新启动 MC。
另请参阅
2 - 管理控制台设置
在 MC 设置 (MC Settings) 页面上,您可以配置特定于管理控制台的属性。要访问 MC 设置 (MC Settings),请转到管理控制台主页 > MC 工具 (MC Tools) > MC 设置 (MC Settings)。
MC 配置设置
配置 (Configuration) 选项卡包含以下部分:
系统用户配置
查看 MC 用户的用户名、用户组和用户主目录路径。
Vertica 数据库配置
编辑以下数据库路径:
MC 和代理端口设置
配置服务器端口和 Vertica 代理使用的默认端口。
应用程序服务器 JVM 设置
设置 JVM 的初始堆大小和最大堆大小。
浏览器连接设置
登录管理控制台时自动启用和禁用用户名和密码。禁用后,清除浏览器的缓存。
MC 密码配置设置
设置密码要求以登录管理控制台。包括长度、到期和登录尝试设置。
用户分析和跟踪
选择是否要向 Vertica 提供有关 MC 使用情况的分析信息。Vertica 使用此信息在未来版本中改进 MC。
注意
接受 MC 的最终用户许可协议条款后,可以选择向 Vertica 提供匿名用户数据。如果要停止提供数据,请清除用户分析和跟踪 (User Analytics and Tracking) 中的复选框。
Vertica 将收集以下信息:
为保护您的隐私,收集的所有信息均以匿名方式存储和处理并符合 GDPR 规定。安全地存储到 Vertica 服务器,绝不与第三方组织共享。
MC 监控设置
在管理控制台中控制以下监控设置:
MC 安全和身份验证设置
MC 用户管理设置
创建新的管理控制台用户,并使用他们的用户凭据将他们映射到 Vertica 服务器上由管理控制台管理的数据库。请参阅创建 MC 用户和管理 MC 用户。
MC 扩展监控设置
配置 扩展监控,以便在管理控制台中监控更长期的数据:
其他 MC 设置
修改数据库特定设置。
要检查或修改与管理控制台管理的数据库相关的设置,请转至现有基础设施 (Existing Infrastructure) 页面。在此页面上,选择一个正在运行的数据库查看其“概述 (Overview)”页面。在“概述 (Overview)”页面底部,单击设置 (Settings) 选项卡以修改数据库特定设置。
3 - 备份 MC
在升级 MC 之前,Vertica 建议备份 MC 元数据(配置和用户设置)。使用安装有 MC 的服务器以外的存储位置。
-
在目标服务器(想要存储 MC 元数据的服务器)上,以 root 或具有 sudo 权限的用户身份登录。
-
如以下示例所示,创建一个备份目录:
# mkdir /backups/mc/mc-backup-20130425
-
将 /opt/vconsole 目录复制到新的备份文件夹:
# cp –r /opt/vconsole /backups/mc/mc-backup-20130425
4 - 从 MC 安全连接到 Vertica 数据库
使用 MC 监控和管理 Vertica 数据库时,MC(在浏览器中运行)作为客户端连接到 Vertica 数据库服务器。
MC 使用 JDBC 进行大部分的数据库连接
MC 使用 Java 数据库连接 (JDBC) 进行大部分的 Vertica 数据库连接,包括:
-
检索要在图表中显示的数据库信息
-
通过 JDBC 运行 SQL 查询
-
配置和更新数据库属性
-
配置数据库进行扩展监控
例外
当 MC 使用代理执行 AdminTools 任务时,MC 不使用 JDBC 连接数据库。
Vertica 软件支持 TLS
Vertica 数据库和 Vertica MC 支持的 TLS 最高版本为 1.2。本主题及其子主题介绍了如何在 MC 中配置 TLS 以通过 JDBC 连接到 Vertica 数据库。
关于证书文件格式
MC 要求上传到 MC 的所有证书和密钥文件必须采用 PEM(增强型私人电子邮件)格式。
Vertica 数据库安全性决定 MC 的连接方式
您在 MC 中为数据库配置的 TLS/SSL 安全性必须与数据库本身配置的安全性一致。
无论 Vertica 数据库在服务器模式还是相互模式下配置 TLS/SSL,都应在 MC 中为该数据库配置 TLS/SSL 以进行匹配。
要了解如何配置 Vertica 数据库,请参阅确定 Vertica 数据库的 TLS 模式。
您可以在 MC 中以服务器模式或相互模式配置 TLS/SSL。
本主题的其余部分和相关主题可互换使用术语 TLS、TLS/SSL 和 SSL。
TLS 服务器模式
当 MC 客户端连接在*服务器模式*下配置的 Vertica 数据库时:
TLS 相互模式
当 MC 客户端连接在*相互模式*下配置的 Vertica 数据库时:
有关 Vertica 如何提供 TLS/SSL 安全性支持的详细信息,请参阅 TLS 协议。
MC 管理员配置 MC 安全性
只有拥有数据库管理员或超级权限的 MC 用户才能在 MC 上配置 TLS 证书和密钥来建立数据库连接。此部分中的主题使用“MC 管理员”指代这两个角色。有关 MC 用户角色和权限的详细信息,请参阅管理控制台 (Management Console) 中的用户。
作为 MC 管理员,当首次在 MC 中为要求采用相互模式的 Vertica 数据库配置安全性时,需要为 Vertica 数据库配置以下证书:
在 MC 上配置 TLS/SSL
MC 提供了“证书 (Certificates)”向导,用于为与数据库建立的所有 JDBC 连接配置 TLS 证书,以确保连接安全。
在 MC 中,在以下三种情况下,需要为 Vertica 数据库配置 TLS 安全性:
将证书添加到 MC 供后续使用
您可能希望一次性将多个 CA 证书或客户端证书添加到 MC,以便在将数据库导入 MC 或创建 MC 用户时简化安全性配置。有关详细信息,请参阅 和 。
为成功建立连接,MC 安全性和数据库安全性必须匹配
4.1 - 管理控制台安全
管理控制台 (MC) 可管理多个 Vertica 群集,而且这些群集可具有不同的安全级别和类型,例如用户名和密码以及 LDAP 身份验证。您也可管理 MC 用户,他们对这些组件拥有各不相同的访问级别。
开放授权和 SSL
管理控制台 (MC) 使用 OAuth(开放授权)、安全套接字层 (SSL) 和本地加密密码的组合,来保障用户浏览器和 MC 以及 MC 和
代理。身份验证通过 MC 发生,并发生在群集内的代理之间。代理也可对作业进行身份验证和授权。
MC 配置过程会自动设置 SSL,但您必须先在您的 Linux 环境中安装 openssl 程序包。
有关详细信息,请参阅以下主题:
用户身份验证和访问权限
MC 提供 LDAP 和 MC 两种身份验证方法。每次只能使用一种方法。例如,如果您选择 LDAP,所有 MC 用户都将使用组织的 LDAP 服务器执行身份验证。
您可以在 MC 界面上通过“MC 设置 (MC Settings)”>“身份验证 (Authentication)”设置 LDAP 身份验证。
注意
MC 仅将 LDAP 数据用于身份验证目的。它不会修改 LDAP 存储库中的用户信息。
MC 身份验证方法在内部存储 MC 用户信息并加密密码。这些 MC 用户并非系统 (Linux) 用户。可以通过这些帐户访问 MC,也可通过 MC 界面访问一个或多个由 MC 管理的 Vertica 数据库。
管理控制台还设置了一些规则,规定用户从客户端浏览器登录 MC 后可以查看哪些内容。这些规则按访问级别管理,而每个访问级别都由一组角色构成。
另请参阅
4.2 - 确定 Vertica 数据库的 TLS 模式
通过管理控制台为 TLS 配置 Vertica 时,必须配置安全模式以满足 Vertica 数据库的配置要求:服务器模式或相互模式。
要确定现有会话的 TLS 模式,请查询 SESSIONS 系统表:
=> SELECT session_id, user_name, ssl_state FROM sessions;
session_id | user_name | ssl_state
---------------------------------+-----------+-----------
v_vmart_node0001-333611:0x1ab | dbadmin | mutual
要确定 Vertica 数据库的客户端-服务器 TLS 配置,请在 TLS_CONFIGURATIONS 系统表中查询“服务器 (Server)”:
=> SELECT name, certificate, ca_certificates, mode FROM tls_configurations WHERE name = 'server';
name | certificate | ca_certificates | mode
--------+------------------+---------------------+-----------
server | server_cert | ca_cert,ica_cert | VERIFY_CA
(1 row)
“模式 (Mode)”可以是以下几项之一,按安全性升序排列:
-
DISABLE:禁用 TLS。此参数的所有其他选项都启用 TLS。
-
ENABLE:启用 TLS。Vertica 不检查客户端证书。
-
TRY_VERIFY:如果出现以下任一情况,则建立 TLS 连接:
如果其他主机提供无效证书,则连接将使用纯文本。
-
VERIFY_CA:如果 Vertica 验证其他主机的证书来自受信任的 CA,则连接成功。如果其他主机不提供证书,则连接使用纯文本。
-
VERIFY_FULL:如果 Vertica 验证其他主机的证书来自受信任的 CA,并且证书的 cn(通用名称)或 subjectAltName 属性与其他主机的主机名或 IP 地址匹配,则连接成功。
请注意,对于客户端证书,cn 将用于用户名,因此 subjectAltName 必须与其他主机的主机名或 IP 地址匹配。
相互模式对应于 TRY_VERIFY 或更高版本,表示 Vertica 处于相互模式。在相互模式下,Vertica 将其服务器证书发送到客户端进行验证,然后使用 CA 证书(在本例中为“ca_cert”和“ica_cert”)验证客户端证书。
相反,服务器模式配置(不验证客户端证书)可能改用以下 TLS 配置:
=> SELECT name, certificate, ca_certificates, mode FROM tls_configurations WHERE name = 'server';
name | certificate | ca_certificates | mode
--------+------------------+---------------------+-----------
server | server_cert | | ENABLE
(1 row)
4.3 - 在 MC 上导入数据库时配置 TLS
要在 MC 上导入现有 Vertica 数据库时配置 TLS,请执行以下操作:
-
按照 将现有数据库导入到 MC 中的步骤执行操作。
-
在导入 Vertica (Import Vertica) 窗口中,选择数据库并单击使用 TLS (Use TLS) 复选框。
-
单击配置 TLS 和导入数据库 (Configure TLS and Import DB),启动并完成证书向导。
MC 证书向导
MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书,为 MC 配置客户端证书,从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时,该向导会显示其他选项和详细信息。
-
该向导的第一个屏幕将提供有用的概述信息。请仔细阅读,然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。
-
在配置 CA 证书 (Configure CA Certificates) 屏幕中,配置要添加到 MC 的 CA 证书(公钥)。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间,MC 使用此受信任的证书来验证服务器的身份。
完成以下选项之一:
-
添加完 CA 证书后,单击 下一步 (Next)。
-
配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。
-
如果数据库配置为服务器模式,则无需客户端证书或密钥。
-
如果数据库配置为相互模式 (Mutual Mode):
-
填写刚才选中的客户端证书和私钥选项的详细信息字段,然后单击 下一步 (Next)。
-
使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口,您可以配置刚才输入的客户端证书-密钥对,以供多个 MC 用户使用。
注意
您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。
-
单击**查看 (Review)。**该向导会显示一个查看窗口,其中包含已配置的 TLS 选项。
-
选择以下选项之一:
4.4 - 在 MC 中为受监控数据库配置 TLS
此过程介绍如何为 MC 中监控的所有 JDBC 与数据库连接配置 TLS。请注意,Vertica 数据库应当已配置建立 TLS 连接所需的 TLS 证书。
-
在 MC 中,导航至数据和群集 (Databases and Clusters) >数据库名称 (DB-name) > 设置 (Settings),然后单击左侧导航栏中的安全 (Security) 选项卡。
-
在为数据库配置 TLS 连接 (Configure TLS Connection for Database) 部分,单击使用 TLS 与数据库建立连接 (Use TLS Connection to database) 旁边的下拉列表中的已启用 (Enabled)。
-
单击配置 TLS 连接 (Configure TLS Connection),启动并完成证书向导。
MC 证书向导
MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书,为 MC 配置客户端证书,从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时,该向导会显示其他选项和详细信息。
-
该向导的第一个屏幕将提供有用的概述信息。请仔细阅读,然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。
-
在配置 CA 证书 (Configure CA Certificates) 屏幕中,配置要添加到 MC 的 CA 证书(公钥)。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间,MC 使用此受信任的证书来验证服务器的身份。
完成以下选项之一:
-
添加完 CA 证书后,单击 下一步 (Next)。
-
配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。
-
如果数据库配置为服务器模式,则无需客户端证书或密钥。
-
如果数据库配置为相互模式 (Mutual Mode):
-
填写刚才选中的客户端证书和私钥选项的详细信息字段,然后单击 下一步 (Next)。
-
使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口,您可以配置刚才输入的客户端证书-密钥对,以供多个 MC 用户使用。
注意
您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。
-
单击**查看 (Review)。**该向导会显示一个查看窗口,其中包含已配置的 TLS 选项。
-
选择以下选项之一:
4.5 - 为 MC 用户配置相互 TLS
您可以为已映射到 Vertica 数据库用户 ID 的现有 MC 用户配置 TLS。如果在相互模式下为从前不安全的 Vertica 数据库配置了 TLS,并且需要为访问该数据库的每个 MC 用户配置客户端证书和私钥,则采取此操作。
-
在 MC 中,导航至 MC 设置 (MC Settings),单击用户管理 (User Management) 选项卡。
-
从列表中选择一个用户,单击编辑 (Edit)。
-
在添加权限 (Add permissions) 窗口中:
-
选择要编辑此 MC 用户的安全权限的数据库。
-
MC 显示此 MC 用户当前映射到的数据库用户名。
-
在限制访问 (Restrict Access) 下拉菜单中,选择 Admin、Associate、IT 或 User 为此用户指定权限级别。
-
在使用 TLS 连接 (Use TLS Connection) 下拉菜单中,选择是 (Yes)。
-
单击为用户配置 TLS (Configure TLS for user),启动并完成证书向导。
MC 证书向导
MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书,为 MC 配置客户端证书,从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时,该向导会显示其他选项和详细信息。
-
该向导的第一个屏幕将提供有用的概述信息。请仔细阅读,然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。
-
在配置 CA 证书 (Configure CA Certificates) 屏幕中,配置要添加到 MC 的 CA 证书(公钥)。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间,MC 使用此受信任的证书来验证服务器的身份。
完成以下选项之一:
-
添加完 CA 证书后,单击 下一步 (Next)。
-
配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。
-
如果数据库配置为服务器模式,则无需客户端证书或密钥。
-
如果数据库配置为相互模式 (Mutual Mode):
-
填写刚才选中的客户端证书和私钥选项的详细信息字段,然后单击 下一步 (Next)。
-
使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口,您可以配置刚才输入的客户端证书-密钥对,以供多个 MC 用户使用。
注意
您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。
-
单击**查看 (Review)。**该向导会显示一个查看窗口,其中包含已配置的 TLS 选项。
-
选择以下选项之一:
4.6 - 更新 MC 连接的 TLS 安全
维护 MC JDBC 与 Vertica 数据库连接的 TLS 安全是一个持续的过程。首先,必须以 MC 管理员的身份配置适当的证书和密钥。随着时间的推移,证书会到期或失效。为维护 MC 的 TLS 安全,必须配置新证书来替换所有即将到期的证书。
如果任何保护 MC 与 Vertica 数据库连接的证书发生更改或到期,MC 管理员必须在 MC 上更新该数据库的 TLS 配置,确保未到期的证书可用,以便成功建立连接。
MC 使用“使用我 (use me)”位标记给定连接的当前证书。此位仅针对当前证书设置。当为给定连接配置新证书时,新证书将标记为当前证书,而上一个证书(尽管仍出现在信任库或密钥库中)则不再标记为当前证书。
4.7 - 在 MC 中为数据库启用或禁用 TLS
要在 MC 中为 JDBC 与 Vertica 数据库之间的所有连接启用 TLS,请配置适用于该连接的证书和密钥。请参阅:
禁用 TLS 连接
在某些情况下,身为系统管理员,可能需要在 MC 中为 JDBC 与 Vertica 数据库之间的连接禁用 TLS。示例如下:
要在连接 Vertica 数据库时禁用 TLS,请执行以下操作:
-
在 MC 中,导航至主页 (Home) > 数据库和群集 (Databases and Clusters) > 数据库名称 (DatabaseName) > 设置 (Settings)。
-
单击左侧导航栏中的安全 (Security) 选项卡。
-
在使用 TLS 连接数据库 (Use TLS Connection to database) 下拉菜单中,选择已禁用 (Disabled)。
注意
要在禁用 TLS 后重新启用 TLS 建立数据库连接,必须重新配置必要的证书。
为数据库禁用 TLS 会移除指示 MC 对所有用户使用给定数据库的当前证书和密钥的配置。如果是相互模式 TLS 连接且每个用户都为该数据库配置了单独的客户端证书和私钥,要重新启用 TLS,必须为每个用户单独重新配置该数据库的证书和密钥。
重新启用已禁用的 TLS 连接
-
在 MC 中,导航至主页 (Home) > 数据库和群集 (Databases and Clusters) > 数据库名称 (DatabaseName) > 设置 (Settings)。
-
单击左侧导航栏中的安全 (Security) 选项卡。
-
在使用 TLS 连接数据库 (Use TLS Connection to database) 下拉菜单中,选择已启用 (Enabled)。
-
MC 显示配置 MC 使用安全连接查询 Vertica 数据库或修改现有配置 (Configure MC to use secured connection to query Vertica database or modify existing configuration)。
-
要重新启用 TLS,请单击配置 TLS 连接 (Configure TLS Connection) 以启动证书向导。
-
完成
证书向导。
4.8 - 在 MC 中添加 TLS 证书
您可以将一个或多个证书添加到 MC 供后续使用,而无需立即将证书与数据库相关联。提前添加证书可以更轻松地为数据库或者一个或多个 MC 用户配置安全,因为只需从列表中选择 CA 或客户端证书,而不必在配置步骤中将其添加到 MC。
在 MC 中添加 CA 证书
在 MC 中添加一个或多个 CA 证书:
-
从 MC 主页,导航至 MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
-
在“管理数据库连接的 TLS 证书 (Manage TLS Certificates for Database Connection)”下,单击添加新 CA 证书 (Add New CA Certificate)。
-
在“添加新 CA 证书建立 TLS 连接 (Add new CA certificates for TLS connection)”窗口中,输入证书的别名,以便日后参考。
-
单击浏览 (Browse) 找到要添加的证书文件。MC 将打开“资源管理器 (Explorer)”窗口。
-
选择要上传的文件,然后单击打开 (Open)。
注意
确保证书文件未过期且不受密码保护。
-
要仅添加这一个证书,请单击添加新 CA (Add New CA)。MC 将证书添加到其列表中。
-
要添加其他 CA 证书,请单击添加更多 CA 证书 (Add More CA Certificates)。MC 将证书添加到列表中,清除字段,以便输入下一个 CA 证书。
-
重复该过程,直到输入要添加的最后一个证书。
-
单击添加新 CA (Add New CA),将列表中的所有 CA 证书添加到 MC:
在 MC 中添加客户端证书和密钥
您可以将一个或多个客户端证书和私钥对添加到 MC。在每一对中,可以添加单个证书、预先存在的证书链或 MC 用来创建新证书链的一系列客户端证书。
要将一个或多个客户端证书及其私钥文件添加到 MC 供日后使用,请执行以下操作:
-
导航至首页 (Home) > MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
-
在“管理数据库连接的 TLS 证书 (Manage TLS Certificates for Database Connection)”下,单击添加新客户端证书 (Add New Client Certificate)。MC 显示“添加新客户端证书和私钥建立 TLS 连接 (Add new Client Certificate and Private Key for TLS Connection)”屏幕。
注意
将客户端证书添加到 MC 时,始终将其与私钥文件一起添加。客户端证书及其密钥是一个密钥对 (key pair)。
-
单击以下文件上传选项之一:
- 上传客户端证书和私钥建立 TLS 连接 (Upload Client Certificate and Private Key for TLS Connection)。使用此选项,您可以将证书和密钥粘贴到浏览器字段中。MC 通过网络上的 https 连接将证书和密钥从浏览器发布到 MC 服务器,并使用 TLS/SSL 进行保护。
- 在 MC 主机上手动上传客户端证书和私钥并提供路径 (Manually upload Client Certificate and Private Key on MC host and provide paths)。通过 https 网络连接将证书从浏览器发送到 MC 服务器可能不是您的首选项。如果是这样,可以使用此选项指定手动上传客户端证书和私钥文件的 MC 服务器主机上的路径。MC 浏览器的 URL 显示 MC 主机的 IP 地址。使用此选项,必须手动处理证书和密钥文件到服务器的传输。
-
要使用任一输入选项提供单个客户端证书和私钥,请执行以下操作:
-
要上传多个证书和私钥并创建证书链,请执行以下操作:
-
输入密钥对的别名。
-
浏览并选择私钥文件或提供路径。
-
浏览并选择客户端证书文件或提供路径。
-
单击将证书添加到链 (Add Certificate to Chain)(或添加更多证书路径 (Add More Certificate Paths))。
-
重复该过程,直到为此证书链添加最后一个证书和密钥。
-
单击添加新客户端证书 (Add New Client Certificate)。
-
MC 将生成的证书链添加到其列表中。
添加新证书建立浏览器连接
您可以查看连接浏览器与 MC 服务器的现有 TLS 证书,也可以添加新证书替换现有证书。
要查看或替换 MC 用于连接用户浏览器与 MC 服务器的 HTTPS 连接的当前 SSL/TLS 证书,请执行以下操作:
-
从 MC 主页,导航至 MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
顶部窗格显示连接浏览器与 MC 服务器的当前证书,包括证书的到期日期:
-
要替换当前证书,请单击上传新 SSL 证书 (Upload a new SSL certificate) 字段旁边的浏览 (Browse)。
MC 将打开资源管理器窗口。
-
选择要上传的证书文件,然后单击打开 (Open)。证书文件必须采用 PEM(增强型私人电子邮件消息)格式。
MC 使用新证书替换之前的证书。
4.9 - 在 MC 中管理 TLS 证书
MC 具有安全列表,其中包含您上传到 MC 的所有 CA 证书、客户端证书或证书链及相应的密钥文件。
要管理已上传到 MC 的证书,请导航至首页 (Home) > MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。此屏幕可控制所有 MC 的 TLS 安全设置。
顶部窗格显示有关用于保护用户浏览器与 MC 服务器连接的当前 TLS 证书的信息。您可以添加新证书替换当前证书。请参阅。
中间窗格和下部窗格用于在 MC 中添加及移除 CA 和客户端证书。
您可以在 MC 中执行以下任务来管理 TLS 证书和密钥。
对于特定数据库的安全设置,在 MC 中打开数据库,导航至主页 (Home) > 数据库和群集 (Databases and Clusters) > 数据库名称 (DatabaseName) > 设置 (Settings),然后单击左侧导航栏中的安全 (Security) 选项卡。
4.10 - 在 MC 中更新 TLS 证书
当 TLS 证书即将到期、已经到期或出于其他原因无法使用时,需要对其进行更新。
以下是更新证书的方法:
-
在 MC 中添加新证书,替换到期证书或无效证书。请参阅在 MC 中添加 TLS 证书。
-
取消旧证书与所有数据库和用户的关联后,可以将其从 MC 中移除。请参阅从 MC 中移除 TLS 证书。
4.11 - 从 MC 中移除 TLS 证书
在某些情况下,在 MC 中为数据库禁用 TLS 可能较为适合。为数据库禁用 TLS 将取消与针对该数据库配置的所有证书的关联。有关详细信息,请参阅在 MC 中为数据库启用或禁用 TLS。
在 MC 中取消证书与数据库的关联
从 MC 中移除证书之前,必须确保证书未关联任何数据库(被任何数据库使用)。MC 管理员可以使用以下任一方法在 MC 中取消证书与数据库的关联:
在 MC 中为数据库配置新证书
当出于特定目的在 MC 中为数据库配置新证书时,新证书将替换旧证书。现在新配置的证书将与数据库关联,旧证书不再关联,可予以移除。
导航至数据库和群集 (Databases and Clusters) > 数据库名称 (DbName) > 数据库设置 (Database Settings) > 配置 TLS (Configure TLS)。
有关详细信息,请参阅 在 MC 中为受监控数据库配置 TLS
移除数据库的 TLS 配置
您可以从 MC 中移除一个或多个 TLS 证书,但需确保这些证书未与数据库关联。要移除证书,请执行以下操作:
-
从 MC 主页,导航至 MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
-
在管理数据库连接的 TLS 证书 (Manage TLS Certificates for Database Connection) 部分,找到要移除的一个或多个 CA 或客户端证书对应的行。此示例仅显示CA 证书 (CA Certificates) 窗格:
-
如果该证书的关联的数据库 (Database associated) 字段为空,可以单击选择要移除的证书,然后单击移除选定项 (Remove Selected)。在上图中,CA_cert_02 和 CA_cert_01 为选定要移除的项。
注意
如果移除证书链中的某个客户端证书,MC 将移除整个证书链。
4.12 - MC 图标显示数据库 TLS 状态
MC 在“数据库和群集/基础设施 (Database and Cluster/Infrastructure)”视图中的数据库左上方显示图标,展示数据库的当前 TLS 状态。数据库名称左侧的痕迹导航中也会显示同样的图标,以显示数据库的当前 TLS 安全状态:
4.13 - 为 TLS 批量配置 MC 用户组
身为 MC 管理员,您可以创建多个 MC 用户并将它们全部映射到 Vertica 数据库服务器端的同一数据库用户 ID。创建用户时,在 MC 中映射用户。有关详细信息,请参阅创建 MC 用户。
然后,可以在单个批量配置进程中配置映射到单个 Vertica 数据库用户 ID 的所有 MC 用户,以便在 MC 中使用相同的客户端证书或证书链和私钥:
-
导航至MC 主页 (MC Home) >数据库和群集 (Databases and Clusters) >数据库名称 (DbName) > 设置 (Settings) > 安全 (Security)。
-
单击配置 TLS 连接 (Configure TLS Connection) 以启动 MC 证书向导。
-
完成向导中的步骤 1 到 3,配置 CA 证书以及要用于多个 MC 用户的客户端证书或证书链和密钥。有关详细信息,请参阅
完成 MC 证书向导。
-
完成这些步骤后,向导会在左侧向导窗格中显示将 TLS 配置应用于映射到数据库的 MC 用户 (Apply TLS configuration to MC users mapped to database) 页面作为步骤 4。
-
要将刚刚配置的同一 CA 证书、客户端证书和密钥应用于一个或多个其他用户,请单击这些用户对应的复选框。
注意
选择的所有用户必须映射到同一 Vertica 数据库用户 ID。
-
要完成配置,请单击“查看 (Review)”。MC 将显示确认屏幕:
-
要为选定的 MC 用户配置此数据库 CA 证书和此客户端证书/密钥对,请单击为 DB 配置 TLS (Configure TLS for DB)。
-
MC 确认操作成功。单击关闭 (Close) 关闭证书向导。
5 - 手动升级管理控制台
如果已手动安装 MC,请按照以下步骤升级 MC。
如果已在 AWS 资源上自动安装 MC,请参阅在 AWS 上自动升级 MC。
升级前备份 MC
-
以 root 或具有 sudo 权限的用户身份登录已安装 MC 的服务器。
-
打开终端窗口并关闭 MC 进程:
# /etc/init.d/vertica-consoled stop
对于 Red Hat 7/CentOS 7 和更高版本,请使用:
# systemctl stop vertica-consoled
-
备份 MC 以保留配置元数据。
重要
必需完整备份才能将 MC 还原到之前的状态。如果升级失败或决定恢复到早期版本 Vertica,则必须还原 MC。有关详细信息,请参阅
备份 MC。
-
如果 MC 安装在 Ubuntu 或 Debian 平台上,请停止数据库。
扩展监控升级建议
如果使用 扩展监控 通过 MC 监控数据库,Vertica 建议执行以下升级步骤来避免数据丢失。
-
以管理员身份登录到 MC。
-
要停止受监控数据库,请导航至“现有基础设施 (Existing Infrastructure)”>“数据库和群集 (Databases and Clusters)”页面,选择受监控数据库,然后单击停止 (Stop)。
-
在“MC 设置 (MC Settings)”>“MC 存储数据库设置 (MC Storage DB Setup)”上,单击禁用流式传输 (Disable Streaming),停止存储数据库对监控数据的收集。
-
要停止存储数据库,请导航至“现有基础设施 (Existing Infrastructure)”>“数据库和群集 (Databases and Clusters)”页面,选择受监控数据库,然后单击停止 (Stop)。
-
根据升级 MC 和 升级 Vertica 说明升级 MC 和 Vertica。
-
要启动存储数据库,请导航至“现有基础设施 (Existing Infrastructure)”>“数据库和群集 (Databases and Clusters)”页面,选择受监控数据库,然后单击启动 (Start)。
-
启动受监控数据库。
-
在“MC 设置 (MC Settings)”>“MC 存储数据库设置 (MC Storage DB Setup)”上,单击启用流式传输 (Enable Streaming),启用监控数据收集。
重要
为避免数据丢失,请在启动受监控数据库后立即启用流式传输。关闭存储数据库并禁用流式传输后,Kafka 服务器可以在有限的时间内保留正在运行的受监控数据库中的数据。当数据超出 Kafka 保留策略的日志大小或保留时间限制时,将发生数据丢失。
升级 MC
注意
升级后,系统会提示您设置安全问题并选择新密码。
-
从 Vertica 网站下载 MC 软件包:
vertica-console-current-version.Linux-distro)
将软件包保存到目标服务器上的某个位置,例如 /tmp。
-
在目标服务器上,以 root 或具有 sudo 权限的用户身份登录。
-
更改为保存 MC 软件包的目录。
-
使用本地 Linux 发行版软件包管理系统(rpm、yum、zipper、apt、dpkg)安装 MC。例如:
Red Hat 6
# rpm -Uvh vertica-console-current-version.x86_64.RHEL6.rpm
Debian 和 Ubuntu
# dpkg -i vertica-console-current-version.deb
-
如果在升级 MC 之前已停止数据库,则重新启动数据库。
以 root 用户身份运行以下命令:
/etc/init.d/verticad start
对于 Red Hat 7/CentOS 7 和更高版本,请运行:
# systemctl start verticad
-
打开浏览器并输入 MC 安装的 URL。该 URL 为以下之一:
默认情况下,mc-port 为 5450。
如果先前未配置 Mc,则会出现“配置向导 (Configuration Wizard)”对话框。配置 MC (Configuring MC) 中描述了配置步骤。
如果先前已配置 MC,则您在升级后首次登录 MC 时,Vertica 将提醒您接受最终用户许可协议 (EULA)。
此外,您可以选择向 Vertica 提供有关 MC 使用情况的分析信息。有关详细信息,请参阅管理控制台设置。
6 - 在 AWS 上自动升级 MC
如果在 AWS 资源上自动安装了管理控制台 (MC) 版本 9.1.1 或更高版本,则可使用“升级 (Upgrade)”向导从 MC 界面自动升级。
此过程会配置新的管理控制台实例,并将所有当前 MC 配置数据复制到新的 MC。将传输所有 MC 设置、用户和受监控群集。
升级后,可以终止之前的管理控制台实例。
此外,通过升级后的管理控制台恢复 Eon 模式数据库后,该数据库也将自动升级到与 MC 相同的 Vertica 版本。
自动升级 MC
只有通过 AWS Marketplace 自动安装现有 MC 时,自动升级才可用。
-
在 MC 主页中,选择 MC 设置 (MC Settings)。
-
从页面左侧的菜单中,选择升级 MC (Upgrade MC)。“升级 MC (Upgrade MC)”页面显示当前管理控制台信息,指示您使用的是最新版本 MC 还是有更新的版本可供使用。
-
单击页面底部的启动 MC 升级 (Start MC Upgrade)(仅当发布新版 MC 时才会显示此按钮)。将显示“升级 (Upgrade)”向导。
-
浏览向导并在出现提示时输入以下信息:
-
升级成功后,向导将显示升级后的管理控制台的 URL。保存此 URL;这是访问新 MC 的途径。保存此 URL 供将来使用很重要;终止之前的 MC 后,新 MC URL 将无法在其他位置获得。(创建 MC 时从原始堆栈引用的 MC URL 将继续引用之前的 MC,而不是新的 MC。)
-
使用 URL 登录新 MC。
-
要终止之前的 MC,请执行以下操作:
-
如有必要,禁用之前的 MC 实例的终止保护。您可以从 AWS 控制台完成此操作。请参阅 AWS 指南,了解如何启用和禁用实例终止保护。
-
在 AWS 控制台中,终止之前的 MC 所在的实例。请参阅 AWS 指南,了解如何终止实例。
注意
请勿删除之前的 MC 的其他关联资源。新 MC 或使用之前的 MC 创建的任何群集可能仍在使用其中一些资源。
后续行动
如果计划将 Eon 模式数据库从 Vertica 9.1.0 或以上版本升级到更高版本,可以通过更新版本的管理控制台自动恢复。MC 恢复数据库后,还会将 Eon 模式数据库升级到与升级后的 MC 相同的 Vertica 版本。请参阅在 MC 中将 Eon 模式数据库恢复到 AWS 上。