从 MC 安全连接到 Vertica 数据库
使用 MC 监控和管理 Vertica 数据库时,MC(在浏览器中运行)作为客户端连接到 Vertica 数据库服务器。
MC 使用 JDBC 进行大部分的数据库连接
MC 使用 Java 数据库连接 (JDBC) 进行大部分的 Vertica 数据库连接,包括:
-
检索要在图表中显示的数据库信息
-
通过 JDBC 运行 SQL 查询
-
配置和更新数据库属性
-
配置数据库进行扩展监控
例外
当 MC 使用代理执行 AdminTools 任务时,MC 不使用 JDBC 连接数据库。
Vertica 软件支持 TLS
Vertica 数据库和 Vertica MC 支持的 TLS 最高版本为 1.2。本主题及其子主题介绍了如何在 MC 中配置 TLS 以通过 JDBC 连接到 Vertica 数据库。
关于证书文件格式
MC 要求上传到 MC 的所有证书和密钥文件必须采用 PEM(增强型私人电子邮件)格式。
Vertica 数据库安全性决定 MC 的连接方式
您在 MC 中为数据库配置的 TLS/SSL 安全性必须与数据库本身配置的安全性一致。
无论 Vertica 数据库在服务器模式还是相互模式下配置 TLS/SSL,都应在 MC 中为该数据库配置 TLS/SSL 以进行匹配。
要了解如何配置 Vertica 数据库,请参阅确定 Vertica 数据库的 TLS 模式。
您可以在 MC 中以服务器模式或相互模式配置 TLS/SSL。
本主题的其余部分和相关主题可互换使用术语 TLS、TLS/SSL 和 SSL。
TLS 服务器模式
当 MC 客户端连接在*服务器模式*下配置的 Vertica 数据库时:
-
客户端请求并验证服务器的凭据。
-
客户端不需要向服务器提供客户端证书和私钥文件。
-
当 MC 通过JDBC 连接数据库时,MC 管理员必须配置可在 MC 上验证服务器证书的 CA 证书。
TLS 相互模式
当 MC 客户端连接在*相互模式*下配置的 Vertica 数据库时:
-
MC 客户端请求并验证数据库服务器的凭据。
-
同时,服务器还会请求并验证 MC 客户端的凭据。
-
每个 MC 用户是单独的客户端,必须提供有效的客户端证书文件和私钥文件对(密钥对),即由 Vertica 数据库服务器认为有效的 CA 签署的证书。
-
MC 管理员必须配置:
-
CA 证书,用于验证 Vertica 数据库服务器证书。
-
每个 MC 用户的客户端证书和私钥文件(密钥对)。每个用户的密钥对可以唯一,也可以由多个用户共享,具体取决于在 Vertica 数据库上配置客户端身份验证的方式。请参阅配置客户端身份验证。
-
-
必须配置每个 MC 用户以正确映射到 Vertica 数据库服务器上配置的用户。
有关 Vertica 如何提供 TLS/SSL 安全性支持的详细信息,请参阅 TLS 协议。
MC 管理员配置 MC 安全性
只有拥有数据库管理员或超级权限的 MC 用户才能在 MC 上配置 TLS 证书和密钥来建立数据库连接。此部分中的主题使用“MC 管理员”指代这两个角色。有关 MC 用户角色和权限的详细信息,请参阅管理控制台 (Management Console) 中的用户。
作为 MC 管理员,当首次在 MC 中为要求采用相互模式的 Vertica 数据库配置安全性时,需要为 Vertica 数据库配置以下证书:
-
数据库的服务器证书和公钥。
-
您自己的客户端证书和私钥,作为映射到 Vertica 数据库用户的首个配置 MC 用户。
在 MC 上配置 TLS/SSL
MC 提供了“证书 (Certificates)”向导,用于为与数据库建立的所有 JDBC 连接配置 TLS 证书,以确保连接安全。
在 MC 中,在以下三种情况下,需要为 Vertica 数据库配置 TLS 安全性:
-
当在 MC 中导入要监控的数据库时。请参阅在 MC 上导入数据库时配置 TLS。
-
当希望为 MC 监控的数据库添加安全性时。请参阅在 MC 中为受监控数据库配置 TLS。
-
当需要为映射到具有 Vertica 数据库服务器权限的用户的单个 MC 用户配置客户端安全性时,因为数据库需要相互身份验证。请参阅为 MC 用户配置相互 TLS。
将证书添加到 MC 供后续使用
您可能希望一次性将多个 CA 证书或客户端证书添加到 MC,以便在将数据库导入 MC 或创建 MC 用户时简化安全性配置。有关详细信息,请参阅 和 。