gpfdists://协议
gpfdists://协议
gpfdists://协议是gpfdist://协议的一个安全版本。要使用它,用户需要以--ssl选项运行gpfdist工具。当在一个URI中指定gpfdists://协议时,它启用文件服务器和Greenplum数据库的加密通信以及安全鉴定以保护其不受窃听和中间人等攻击。
gpfdists以客户端/服务器形式实现了SSL安全性,并且有下列属性和限制:
- 客户端证书是必需的。
- 不支持多语言证书。
- 不支持证书撤销列表(CRL)。
- TLSv1协议被用于TLS_RSA_WITH_AES_128_CBC_SHA加密算法。
- SSL参数不能被更改。
- 支持SSL重新协商。
- SSL忽略被设置为false的主机失配参数。
- 对于gpfdist文件服务器(server.key)和Greenplum数据库(client.key)不支持包含密码的私钥。
- 为操作系统发行合适的证书是用户的责任。通常,支持转换https://www.sslshopper.com/ssl-converter.html中所示的证书。 注意: 一个用gpfdist --ssl选项启动的服务器只能与gpfdists协议通讯。一个不带--ssl选项启动的gpfdist服务器只能与gpfdist协议通讯。
- 客户端证书文件是client.crt
- 客户端私钥文件是client.key
使用下列方法之一来调用gpfdists协议。
- 用--ssl选项运行gpfdist,然后在CREATE EXTERNAL TABLE语句的LOCATION子句中使用gpfdists协议。
- 使用一个SSL选项设置为真的gpload YAML控制文件。运行gpload,它会用--ssl选项启动gpfdist服务器,然后使用gpfdists协议。
使用gpfdists要求下列客户端证书存在于每个Segment的$PGDATA/gpfdists目录中。
- 客户端证书文件是client.crt
- 客户端私钥文件是client.key
- 受信证书发行机构root.crt
一个装载数据到具有安全性的外部表中的例子可见例 3—多gpfdists实例。