trino 433 开启 HTTPS

什么要开启https

因为开始password验证要求必须得https。

摘要

trino节点之间可以不用开启SSL,对外访问开启SSL。如果自备证书可以直接配置到trino的config文件,如果没有证书可以使用mkcert生成自签证书(客户端需要信任证书,尤其是java keystore),之前尝试过openssl,keystore,keystore explorer,都不是特别好用,不是生成失败,就是生成的证书需要配合域名使用(需要客户端修改hosts文件,新增域名和IP的解析),所以选择了mkcert,只需要一行命令就可以(可以给多个IP or domain生成证书)。

准备

  1. mkcert : mkcert地址。根剧系统选择合适的mkcert下载

生成证书

shell 复制代码
# 如果是linux系统,需要chmod a+x mkcert  赋予执行权限
mkcert domain1 [domain2 [...]] 
# 假设需要多个IP使用
mkcert 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4
# 假设需要多个IP or domain使用
mkcert 192.168.1.1 192.168.1.2 trino3.xyz trino4.xyz
# 假设需要多个IP or domain使用,trino1.xyz解析到192.168.1.1,trino2.xyz解析到192.168.1.2
mkcert 192.168.1.1 192.168.1.2 trino1.xyz trino2.xyz trino3.xyz trino4.xyz
# 最后效果是无论使用IP 还是 domain 都能够正常访问
# domain 需要配置 DNS ,DNS 能够解析 domain 指向IP。(或者修改hosts文件)

#查看信任证书存放地址
./mkcert -CAROOT
# 会生成两个.pem文件,一个是证书,一个秘钥:
# * 可以随便定义。
# *.pem后缀的是证书文件,建议改名为*.cer(改完在windows可以直接双击安装,选择信任机构)
# *key.pem后缀的是秘钥文件。建议改名成*.key

# 合并秘钥和证书文件,此处假定 * 为trino。
cat trino.key trino.cer > trino.pem

trino 配置证书文件

修改 config.properties 文件 增加以下内容

shell 复制代码
# 启用https
http-server.https.enabled=true
# 设置https端口
http-server.https.port=8443
# 设置证书秘钥文件地址(建议三个文件 key,cer,pem 文件放到trino下的tls目录,没有就创建)
# 建议写绝对路径
http-server.https.keystore.path=/trino-server-433/tls/trino.pem
#节点之间不需要使用https通信,在内网部署无需,外网需打开,默认就是false
internal-communication.https.required=false

全部节点都必须要有证书文件,config.properties 可主节点修改,也可全部节点修改。

trino 全部节点重启

shell 复制代码
# 重启, -v 查看启动信息
bin/launcher restart -v
# 重启完成之后使用 https 访问即可。

信任证书

shell 复制代码
# 本地信任证书
mkcert --install
# java 信任证书
# -file 证书地址
keytool -import -alias trino -file /tmp/trino.cer \
-keystore $JAVA_HOME/jre/lib/security/cacerts --storepass changeit -v
# 如果只安装了jre的话
keytool -import -alias trino -file /tmp/trino.cer \
-keystore $JAVA_HOME/lib/security/cacerts --storepass changeit -v
# 查看已信任的证书
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts --storepass changeit -v
keytool -list -keystore $JAVA_HOME/lib/security/cacerts --storepass changeit -v

DataGrip

下载key(秘钥文件),和cer(证书文件)文件配置到此处即可。

Troubleshoot

错误1

连接trino时报错

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target
解决方案:

检查java是否信任自签证书,确保运行java使用的$JAVA_HOME/lib/security/cacerts中是否有新增加的证书

错误2

连接的时候报错。这是因为证书的里面的SAN设置的有问题。

shell 复制代码
 javax.net.ssl.SSLPeerUnverifiedException: hostname not verified
解决方案:
  1. 修改hosts文件,新增一个域名到IP的映射
  2. 使用mkcert。mkcert亲测不会出现问题。
错误3

这是因为 mysql 低版本 不支持设置时区为 Asia/Shanghai

shell 复制代码
java.sql.SQLNonTransientConnectionException: 
Could not create connection to database server. Attempted reconnect 3 times. Giving up.
com.mysql.cj.exceptions.CJException: Unknown or incorrect time zone: 'Asia/Shanghai'
sql 复制代码
# 使用以下代码验证mysql数据库是否支持设置这种时区
SET SESSION time_zone='Asia/Shanghai'
解决方案

建议百度 mysql Unknown or incorrect time zone: 'Asia/Shanghai'查找解决方案。

相关推荐
傻啦嘿哟34 分钟前
代理IP在后端开发中的应用与后端工程师的角色
网络·网络协议·tcp/ip
向阳12181 小时前
Dubbo HTTP接入之triple协议
网络协议·http·dubbo
Natural_yz2 小时前
大数据学习17之Spark-Core
大数据·学习·spark
Estar.Lee3 小时前
时间操作[计算时间差]免费API接口教程
android·网络·后端·网络协议·tcp/ip
莫叫石榴姐3 小时前
数据科学与SQL:组距分组分析 | 区间分布问题
大数据·人工智能·sql·深度学习·算法·机器学习·数据挖掘
魔珐科技4 小时前
以3D数字人AI产品赋能教育培训人才发展,魔珐科技亮相AI+教育创新与人才发展大会
大数据·人工智能
上优5 小时前
uniapp 选择 省市区 省市 以及 回显
大数据·elasticsearch·uni-app
samLi06206 小时前
【更新】中国省级产业集聚测算数据及协调集聚指数数据(2000-2022年)
大数据
Mephisto.java6 小时前
【大数据学习 | Spark-Core】Spark提交及运行流程
大数据·学习·spark
EasyCVR7 小时前
私有化部署视频平台EasyCVR宇视设备视频平台如何构建视频联网平台及升级视频转码业务?
大数据·网络·音视频·h.265