Docker环境下的Apache NiFi安装实践踩坑记录

引言:由于最近用到数据同步，故打算采用中间件工具来做数据同步，谁知第一步部署Apache NiFi环境就耽搁了好久，其中遇到一些问题，故记录下来部署成功记录

• 问题1：HTTPS访问 HTTP ERROR 400 Invalid SNI
• 问题2：openssl创建的证书需要导入到浏览器中
• 问题2：HTTPS 和双向 TLS 身份验证保护的独立实例时，证书正常了，访问后提示Insufficient Permissions，这个问题目前还没解决，如果哪位朋友知道怎么处理，麻烦告知一下，感谢！！！

开始走入正题

1.拉取镜像

sudo docker pull apache/nifi

2.运行容器

# 运行
sudo docker run --restart=always --name nifi -p 8443:8443 -itd apache/nifi

# 进入容器,复制配置到目录，做持久化
# 注意复制配置文件的时候记得查看日志是否启动成功，要启动成功后进行复制
sudo  docker  cp nifi:/opt/nifi/nifi-current/conf  /opt/nifi
# 移除nifi 容器
sudo docker rm -f nifi

3.创建PKCS12证书

# 进入文件目录
cd /opt/nifi

# 删除旧证书
rm -rf *.p12

#生成RSA私钥
openssl genpkey -algorithm RSA -out nifi.key
# 创建证书签名请求CSR
openssl req -new -key nifi.key -out nifi.csr

# 填写信息
Country Name (2 letter code) [AU]: CN   # 国家/地区名称（必须填写，使用两位字母代码，如CN代表中国）
State or Province Name (full name) [Some-State]: Hunan   # 省份或州名称（必须填写，填写完整名称）
Locality Name (eg, city) []: Changsha   # 城市名称（可选，如果不填，字段为空）
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Jisheyun   # 组织名称（必须填写，通常为公司名称）
Organizational Unit Name (eg, section) []: IT Department   # 组织部门名称（可选）
Common Name (e.g. server FQDN or YOUR name) []:192.168.1.9    # 服务器主机名或IP地址（必须填写）
Email Address []: admin@jishe.com   # 电子邮件地址（可选）
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <留空>   # 挑战密码（可选，可以留空）
An optional company name []: <留空>   # 可选的公司名称（可选，可以留空）

# 使用私钥和CSR创建自签名证书，有效期为3650天
openssl x509 -req -days 3650 -in nifi.csr -signkey nifi.key -out nifi.crt

# 将私钥和证书合并为 PKCS12 格式文件
openssl pkcs12 -export -in nifi.crt -inkey nifi.key -out nifi.p12 -name nifi -password pass:jisheyun123456


# 修改目录文件权限（注意需要设置权限否则会导致读取不到配置文件信息）
# 文件权限也可以修改为755,但是运行容器需要加-u 0 
chmod -R 777 /opt/nifi/

4.修改配置文件信息

# 编辑文件
sudo vim nifi.properties

# 修改服务器地址和端口
nifi.web.https.host=192.168.1.9
nifi.web.https.port=8443

# 配置加密参数
nifi.sensitive.props.key=jisheyun123456
nifi.sensitive.props.algorithm=NIFI_PBKDF2_AES_GCM_256
nifi.security.autoreload.enabled=false
nifi.security.autoreload.interval=10 secs

# 配置证书路径和密码
nifi.security.keystore=./conf/nifi.p12
nifi.security.keystoreType=PKCS12
nifi.security.keystorePasswd=jisheyun123456
nifi.security.keyPasswd=jisheyun123456
nifi.security.truststore=./conf/nifi.p12
nifi.security.truststoreType=PKCS12
nifi.security.truststorePasswd=jisheyun123456

5.重新新运行容器

# 运行新容器
sudo docker run --name nifi  --restart=always \
  -p 8443:8443 \
  -itd \
  -v /opt/nifi:/opt/nifi/nifi-current/conf \
  -e SINGLE_USER_CREDENTIALS_USERNAME=admin \
  -e SINGLE_USER_CREDENTIALS_PASSWORD=jisheyun123456 \
 registry.cn-qingdao.aliyuncs.com/jisheyun/apache_nifi:2.3.0

6.另外一种方式使用容器化参数运行（这种方式只映射证书不映射其他配置信息）

# 运行容器
docker run --name nifi --restart=always \
  -v /opt/nifi:/opt/certs \
  -p 8443:8443 \
  -e SINGLE_USER_CREDENTIALS_USERNAME=admin \
  -e SINGLE_USER_CREDENTIALS_PASSWORD=jisheyun123456 \
  -e KEYSTORE_PATH=/opt/certs/nifi.p12 \
  -e KEYSTORE_TYPE=PKCS12\
  -e KEYSTORE_PASSWORD=jisheyun123456 \
  -e TRUSTSTORE_PATH=/opt/certs/nifi.p12 \
  -e TRUSTSTORE_PASSWORD=jisheyun123456 \
  -e TRUSTSTORE_TYPE=PKCS12\
  -e INITIAL_ADMIN_IDENTITY='subject=C = CN, ST = Hunan, L = Changsha, O = Jisheyun, OU = IT Department, CN = 192.168.1.9' \
  -e NIFI_WEB_PROXY_HOST='192.168.1.9' \
  -itd \
 registry.cn-qingdao.aliyuncs.com/jisheyun/apache_nifi:2.3.0

7.浏览器访问

# 先把证书导出然后再导入到浏览器中
切记！切记！切记！需要导入证书，否则访问正常访问
# 刷新访问
https://192.168.1.9:8443/nifi

• 【参考】https://hub.docker.com/r/apache/nifi/
• 【参考】https://nifi.apache.org/docs/nifi-docs/html/user-guide.html
• 【参考】https://repo1.maven.org/maven2/org/apache/nifi/