Кластерные действия

Антон Васильев

Статья описывает действия, которые можно выполнять с кластером ADB ES в пользовательском интерфейсе ADCM.

Обзор

Управление кластером ADB ES осуществляется на странице Clusters.

Страница Clusters
Страница Clusters

Описание страницы Clusters и общих действий на этой странице приведено в документации ADCM.

В столбце Actions показываются иконки для управления кластером:

  • actions default dark actions default light — открывает список действий, доступных для работы с кластером.

    Открытие списка кластерных действий ADB ES
    Открытие списка доступных действий

  • upgrade default — указывает, доступна ли новая версия бандла, и позволяет запустить обновление кластера до новой версии.

  • delete default — удаляет информацию о кластере из ADCM (не удаляет ADB ES и не производит никаких изменений на хостах, относящихся к кластеру).

ВАЖНО

При обновлении ADB ES важно учесть следующий порядок:

  1. Обновление кластера ADB ES.

  2. Обновление агентов на стороне ADB (см. сервисное действие Reinstall для ADBC agents и ADBM agents).

Набор кластерных действий (доступных при нажатии иконки actions default dark actions default light) определяется текущим статусом кластера ADB ES.

Доступные действия в зависимости от статуса ADB ES
Статус Условие Доступные действия

created

Кластер ADB ES создан в ADCM, но еще не установлен

installed

Кластер ADB ES успешно установлен в ADCM

Действия Precheck и Install описаны в статье Установка кластера. Действия, доступные для уже установленного кластера, приведены ниже.

Check

Действие Check проверяет соответствие настроек хостов, сервисов и компонентов требованиям кластера ADB ES (аналогично действию Precheck). Кроме того, действие проверяет статус каждого из компонентов ADB ES.

Reconfigure Vault integration

Действие Reconfigure Vault integration предназначено для применения изменений к параметрам Vault integration, редактирование которых доступно на вкладке Configuration на странице кластера. Эти параметры определяют необходимость хранения секретов сервисов ADB ES в HashiCorp Vault.

ВАЖНО

  • Перед вводом интеграционных параметров убедитесь, что Vault предварительно установлен и сконфигурирован.

  • После каждого изменения и сохранения значений параметров из секции Vault integration необходимо запускать кластерное действие Reconfigure Vault integration.

  • В настоящий момент Vault может использоваться для хранения параметров аутентификации сервисов ADB Control и ADBM.

Manage SSL

Настраивает и включает SSL для всего кластера ADB ES. В открывшемся окне выберите SSL configuration для включения SSL и настройте параметры, описанные ниже.

ВАЖНО

После включения и выключения SSL в ADB ES требуется выполнить действие Reconfigure and restart на стороне сервисов ADBC agents и ADBM agents в кластерах ADB, связанных с текущим ADB ES.
Параметр Описание

Verify system endpoints' certificates

Включает проверку сертификатов системных эндпойнтов. Перед использованием опции с самоподписанными (self-signed) сертификатами убедитесь, что в хранилище доверенных корневых сертификатов ОС добавлены корневой и промежуточные CA-сертификаты. Чтобы использовать опцию Verify system endpoints' certificates с вашими собственными сертификатами, для успешной верификации добавьте IP-адрес ADB Control в поле CN файла san.cnf (SAN), а также исключите DNS из секции alt_names (оставив только IP-адрес)

Postgres server certificate path

Путь к файлу сертификата PostgreSQL (в формате PEM). Требуемые права доступа к файлу: 640, владелец и группа: postgres:postgres. Поле доступно, если используется внутренний тип СУБД в сервисе Database

Postgres server private key path

Путь к файлу закрытого ключа PostgreSQL (в формате PEM). Требуемые права доступа к файлу: 600, владелец и группа: postgres:postgres. Поле доступно, если используется внутренний тип СУБД в сервисе Database

clickhouse ca certificate path

Путь к корневому сертификату CA для ClickHouse (в формате PEM). Требуемые права доступа к файлу: 640, владелец и группа: clickhouse:clickhouse. Поле доступно, если используется внутренний тип СУБД в сервисе Clickhouse

clickhouse server certificate path

Путь к файлу серверного сертификата ClickHouse (в формате PEM). Требуемые права доступа к файлу: 640, владелец и группа: clickhouse:clickhouse. Поле доступно, если используется внутренний тип СУБД в сервисе Clickhouse

clickhouse server private key path

Путь к файлу закрытого ключа сервера ClickHouse (в формате PEM). Требуемые права доступа к файлу: 600, владелец и группа: clickhouse:clickhouse. Поле доступно, если используется внутренний тип СУБД в сервисе Clickhouse

Server truststore path

Путь к truststore-файлу для серверных Java-компонентов — ADB Control и AD Eureka (для ADBM см. требования ниже). Формат: PKCS #12. Требуемые владелец и группа: adcc:adcc

Server truststore password

Пароль, установленный для серверного truststore-файла, указанного в Server truststore path

Server keystore path

Путь к keystore-файлу для серверных Java-компонентов (ADB Control, AD Eureka). Формат: PKCS #12. Требуемые владелец и группа: adcc:adcc

Server keystore password

Пароль, установленный для серверного keystore-файла, указанного в Server keystore path

Agent truststore path

Путь к truststore-файлу для агентов ADBC/ADBM (на хостах ADB). Формат: PKCS #12. Требуемые владелец и группа: gpadmin:gpadmin

Agent truststore password

Пароль, установленный для truststore-файла агентов, указанного в Agent truststore path

Agents keystore path

Путь к keystore-файлу для агентов. Формат: PKCS #12. Требуемые владелец и группа: gpadmin:gpadmin

Agents keystore password

Пароль, установленный для keystore-файла агентов, указанного в Agents keystore path
Окно Manage SSL
Окно Manage SSL

Требования к сертификатам

При создании сертификатов необходимо учитывать следующие требования:

  • Если ADB Control и AD Eureka установлены на разных хостах, абсолютные пути к файлам keystore и truststore должны быть одинаковыми на обоих хостах. Эти пути указываются в параметрах Server keystore path и Server truststore path.

  • Владельцы файлов (перечисленные в таблице выше) должны иметь права на чтение каждой директории в пути к этим файлам.

  • Для ADBM требуется дополнительная настройка.

  • Действие Manage SSL не применяется к внешним базам данных. При их использовании импортируйте сертификаты внешних БД в truststore, указанный в Server truststore path.

Настройка SSL для ADBM

Если используется сервис ADBM, для включения SSL выполните следующие шаги:

  1. Откройте конфигурацию сервиса ADBM.

  2. Разверните секцию Backend parameters → ADBM server app environment key-value.

  3. С помощью кнопки Add property добавьте два свойства.

    Название свойства Значение Пример значения

    ADBM_CORE_SSL_KEY_STORE

    Путь к keystore-файлу, указанный с префиксом file:. Требуемые владелец и группа: adbm:adbm

    file:/opt/adbm/ssl/keystore.p12

    ADBM_CORE_SSL_TRUST_STORE

    Путь к truststore-файлу, указанный с префиксом file:. Требуемые владелец и группа: adbm:adbm

    file:/opt/adbm/ssl/truststore.p12

  4. Нажмите Save для сохранения конфигурации.

ВАЖНО

Не запускайте действие Reconfigure & Restart для применения конфигурации ADBM — просто сохраните ее. Указанные свойства применяются при запуске кластерного действия Manage SSL.
Настройка SSL для ADBM
Настройка SSL для ADBM

Проверка результатов

После успешного выполнения действия Manage SSL компоненты ADB ES начинают взаимодействовать по SSL. Веб-серверы потребуют подключения по TLS, поэтому для доступа к веб-интерфейсам сервисов используйте https при вводе адреса:

  • ADB Control: https://<IP-адрес компонента ADB Control UI>:8890

  • AD Eureka: https://<IP-адрес AD Eureka>:8761

  • Clickhouse: https://<IP-адрес Clickhouse>:8443 (при отключенном SSL используется порт 8123)

Также можно проверить использование TLS в PostgreSQL. Например, для внутренних баз данных ADPG подключитесь к adcc или adbm:

$ sudo su - postgres
$ psql -p 5433 -d adcc

В результате будет отображена версия TLS, подтверждающая использование зашифрованного соединения между базой данных и клиентами:

psql (16.3)
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off)
Type "help" for help.

adcc=#

Reinstall

Действие Reinstall переустанавливает кластер ADB ES.

Reinstall statuschecker

Действие Reinstall statuschecker перенастраивает и перезапускает службу проверки состояния (statuschecker) для всех сервисов кластера. Используется в случае миграции кластера под управление нового сервера ADCM.

Start

Действие Start запускает все сервисы кластера ADB ES.

При выборе этого действия в открывшемся окне доступен флаг Apply services configs from ADCM. Выберите его, если требуется применить все изменения в конфигурациях сервисов. В противном случае сервисы будут запущены без применения текущих изменений.

Окно Start
Окно Start

Stop

Действие Stop останавливает все сервисы кластера ADB ES.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней