Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configurazione di un endpoint Apache Livy sicuro con TLS/SSL Consulta le seguenti sezioni per saperne di più sulla configurazione di Apache Livy per Amazon EMR su EKS con crittografia end-to-end TLS e SSL. ## Configurazione della crittografia TLS e SSL Per configurare la crittografia SSL sul tuo endpoint Apache Livy, segui questi passaggi. + [Installa il driver CSI Secrets Store e AWS Secrets and Configuration Provider (ASCP)](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating_csi_driver.html): il driver CSI Secrets Store e ASCP archiviano in modo sicuro i certificati JKS e le password di Livy necessari al pod del server Livy per abilitare SSL. Puoi anche installare solo il driver CSI Secrets Store e utilizzare qualsiasi altro provider di segreti supportato. + [Crea un certificato ACM](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html): questo certificato è necessario per proteggere la connessione tra il client e l'endpoint ALB. + Imposta un certificato JKS, una password di chiave e una password di archivio chiavi per, necessari per Gestione dei segreti AWS proteggere la connessione tra l'endpoint ALB e il server Livy. + Aggiungi le autorizzazioni all'account del servizio Livy da cui recuperare i segreti Gestione dei segreti AWS : il server Livy necessita di queste autorizzazioni per recuperare i segreti da ASCP e aggiungere le configurazioni Livy per proteggere il server Livy. Per aggiungere le autorizzazioni IAM a un account di servizio, consulta Configurazione delle autorizzazioni di accesso con i ruoli IAM per gli account di servizio (IRSA). ### Configurazione di un certificato JKS con una chiave e una password di archivio chiavi per Gestione dei segreti AWS Segui questi passaggi per configurare un certificato JKS con una chiave e una password del keystore. 1. Genera un file keystore per il server Livy. ``` keytool -genkey -alias -keyalg RSA -keysize 2048 –dname CN=,OU=hw,O=hw,L=,ST=,C= –keypass -keystore -storepass --validity 3650 ``` 1. Crea un certificato. ``` keytool -export -alias -keystore mykeystore.jks -rfc -file mycertificate.cert -storepass ``` 1. Crea un file truststore. ``` keytool -import -noprompt -alias -file -keystore -storepass ``` 1. Salva il certificato JKS in. Gestione dei segreti AWS Sostituiscilo `livy-jks-secret` con il tuo segreto e `fileb://mykeystore.jks` con il percorso del certificato JKS del keystore. ``` aws secretsmanager create-secret \ --name livy-jks-secret \ --description "My Livy keystore JKS secret" \ --secret-binary fileb://mykeystore.jks ``` 1. Salva il keystore e la password della chiave in Secrets Manager. Assicurati di utilizzare i tuoi parametri. ``` aws secretsmanager create-secret \ --name livy-jks-secret \ --description "My Livy key and keystore password secret" \ --secret-string "{\"keyPassword\":\"\",\"keyStorePassword\":\"\"}" ``` 1. Crea uno spazio dei nomi del server Livy con il seguente comando. ``` kubectl create ns ``` 1. Crea l'`ServiceProviderClass`oggetto per il server Livy che ha il certificato JKS e le password. ``` cat >livy-secret-provider-class.yaml << EOF apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: aws-secrets spec: provider: aws parameters: objects: | - objectName: "livy-jks-secret" objectType: "secretsmanager" - objectName: "livy-passwords" objectType: "secretsmanager" EOF kubectl apply -f livy-secret-provider-class.yaml -n ``` ## Guida introduttiva a Apache Livy abilitato per SSL Dopo aver abilitato SSL sul tuo server Livy, devi `serviceAccount` configurarlo per avere accesso a and secrets su. `keyStore` `keyPasswords` Gestione dei segreti AWS 1. Crea lo spazio dei nomi del server Livy. ``` kubectl create namespace ``` 1. Configura l'account del servizio Livy per avere accesso ai segreti in Secrets Manager. Per ulteriori informazioni sulla configurazione di IRSA, vedere [Configurazione di IRSA durante l'installazione](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-irsa.html#job-runs-apache-livy-irsa) di Apache Livy. ``` aws ecr get-login-password \--region region-id | helm registry login \ --username AWS \ --password-stdin ECR-registry-account.dkr.ecr.region-id.amazonaws.com ``` 1. Installa Livy. Per il parametro Helm chart --version, usa l'etichetta di rilascio di Amazon EMR, ad esempio. `7.1.0` È inoltre necessario sostituire l'ID dell'account del registro Amazon ECR e l'ID regionale con i propri. IDs Puoi trovare il `ECR-registry-account` valore corrispondente per i tuoi [account del Regione AWS registro Amazon ECR per regione](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/docker-custom-images-tag.html#docker-custom-images-ECR). ``` helm install \ oci://895885662937.dkr.ecr.region-id.amazonaws.com/livy \ --version 7.12.0 \ --namespace livy-namespace-name \ --set image=..amazonaws.com/livy/emr-7.12.0:latest \ --set sparkNamespace=spark-namespace \ --set ssl.enabled=true --set ssl.CertificateArn=livy-acm-certificate-arn --set ssl.secretProviderClassName=aws-secrets --set ssl.keyStoreObjectName=livy-jks-secret --set ssl.keyPasswordsObjectName=livy-passwords --create-namespace ``` 1. Continua dal passaggio 5 dell'[Installazione di Apache Livy su Amazon EMR](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-setup.html#job-runs-apache-livy-install) su EKS.