기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# TLS/SSL을 사용하여 보안 Apache Livy 엔드포인트 설정
<a name="job-runs-apache-livy-secure-endpoint"></a>

엔드투엔드 TLS 및 SSL 암호화를 사용하여 Amazon EMR on EKS에 대해 Apache Livy를 설정하는 방법에 대한 자세한 내용은 다음 섹션을 참조하세요.

## TLS 및 SSL 암호화 설정
<a name="job-runs-apache-livy-security-tls"></a>

Apache Livy 엔드포인트에서 SSL 암호화를 설정하려면 다음 단계를 수행합니다.
+ [Secrets Store CSI Driver and AWS Secrets and Configuration Provider(ASCP) 설치](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating_csi_driver.html) - Secrets Store CSI Driver 및 ASCP는 Livy 서버 포드가 SSL을 활성화하는 데 필요한 Livy의 JKS 인증서와 암호를 안전하게 저장합니다. Secrets Store CSI 드라이버만 설치하고 지원되는 다른 보안 암호 제공업체를 사용할 수도 있습니다.
+ [ACM 인증서 생성](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) - 이 인증서는 클라이언트와 ALB 엔드포인트 간 연결을 보안하는 데 필요합니다.
+ ALB 엔드포인트와 Livy 서버 간의 연결을 보호하는 데 AWS Secrets Manager 필요한에 대한 JKS 인증서, 키 암호 및 키 스토어 암호를 설정합니다.
+ Livy 서비스 계정에 보안 암호를 검색할 수 있는 권한을 추가합니다 AWS Secrets Manager . Livy 서버는 ASCP에서 보안 암호를 검색하고 Livy 구성을 추가하여 Livy 서버를 보호하려면 이러한 권한이 필요합니다. 서비스 계정에 IAM 권한을 추가하려면 서비스 계정에 대한 IAM 역할(IRSA)을 사용하여 액세스 권한 설정을 참조하세요.

### 에 대한 키 및 키 스토어 암호를 사용하여 JKS 인증서 설정 AWS Secrets Manager
<a name="job-runs-apache-livy-jks-certificate"></a>

다음 단계를 수행하여 키 및 키 저장소 암호를 사용해 JKS 인증서를 설정합니다.

1. Livy 서버의 키 저장소 파일을 생성합니다.

   ```
   keytool -genkey -alias <host> -keyalg RSA -keysize 2048 –dname CN=<host>,OU=hw,O=hw,L=<your_location>,ST=<state>,C=<country> –keypass <keyPassword> -keystore <keystore_file> -storepass <storePassword> --validity 3650
   ```

1. 인증서를 생성합니다.

   ```
   keytool -export -alias <host> -keystore mykeystore.jks -rfc -file mycertificate.cert -storepass <storePassword>
   ```

1. 신뢰 저장소 파일을 생성합니다.

   ```
   keytool -import -noprompt -alias <host>-file <cert_file> -keystore <truststore_file> -storepass <truststorePassword>
   ```

1. JKS 인증서를에 저장합니다 AWS Secrets Manager. `livy-jks-secret`을 보안 암호로, `fileb://mykeystore.jks`를 키 저장소 JKS 인증서의 경로로 바꿉니다.

   ```
   aws secretsmanager create-secret \ 
   --name livy-jks-secret \
   --description "My Livy keystore JKS secret" \
   --secret-binary fileb://mykeystore.jks
   ```

1. Secrets Manager에 키 저장소 및 키 암호를 저장합니다. 자체 파라미터를 사용해야 합니다.

   ```
   aws secretsmanager create-secret \
   --name livy-jks-secret \
   --description "My Livy key and keystore password secret" \
   --secret-string "{\"keyPassword\":\"<test-key-password>\",\"keyStorePassword\":\"<test-key-store-password>\"}"
   ```

1. 다음 명령으로 Livy 서버 네임스페이스를 생성합니다.

   ```
   kubectl create ns <livy-ns>
   ```

1. JKS 인증서와 암호가 있는 Livy 서버에 대한 `ServiceProviderClass` 객체를 생성합니다.

   ```
   cat >livy-secret-provider-class.yaml << EOF
   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: aws-secrets
   spec:
     provider: aws
     parameters:
       objects: |
           - objectName: "livy-jks-secret"
             objectType: "secretsmanager"
           - objectName: "livy-passwords"
             objectType: "secretsmanager"
                        
   EOF
   kubectl apply -f livy-secret-provider-class.yaml -n <livy-ns>
   ```

## SSL 지원 Apache Livy 시작하기
<a name="job-runs-apache-livy-ssl-enabled-getting-started"></a>

Livy 서버에서 SSL을 활성화한 후 AWS Secrets Manager에서 `keyStore` 및 `keyPasswords` 보안 암호에 액세스할 수 있도록 `serviceAccount`를 설정해야 합니다.

1. Livy 서버 네임스페이스를 생성합니다.

   ```
   kubectl create namespace <livy-ns>
   ```

1. Secrets Manager의 보안 암호에 액세스할 수 있도록 Livy 서비스 계정을 설정합니다. IRSA 설정에 대한 자세한 내용은 [Apache Livy를 설치하는 동안 IRSA 설정](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-irsa.html#job-runs-apache-livy-irsa)을 참조하세요.

   ```
   aws ecr get-login-password \--region region-id | helm registry login \
   --username AWS \
   --password-stdin ECR-registry-account.dkr.ecr.region-id.amazonaws.com
   ```

1. Livy를 설치합니다. 헬름 차트 --version 파라미터의 경우 Amazon EMR 릴리스 레이블(`7.1.0`)을 사용합니다. 또한 Amazon ECR 레지스트리 계정 ID 및 리전 ID를 자체 ID로 바꾸어야 합니다. [리전별로 Amazon ECR 레지스트리 계정](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/docker-custom-images-tag.html#docker-custom-images-ECR) AWS 리전 에서에 해당하는 `ECR-registry-account` 값을 찾을 수 있습니다.

   ```
   helm install <livy-app-name> \
     oci://895885662937.dkr.ecr.region-id.amazonaws.com/livy \
     --version 7.12.0 \
     --namespace livy-namespace-name \
     --set image=<ECR-registry-account.dkr.ecr>.<region>.amazonaws.com/livy/emr-7.12.0:latest \
     --set sparkNamespace=spark-namespace \
     --set ssl.enabled=true
     --set ssl.CertificateArn=livy-acm-certificate-arn
     --set ssl.secretProviderClassName=aws-secrets
     --set ssl.keyStoreObjectName=livy-jks-secret
     --set ssl.keyPasswordsObjectName=livy-passwords
     --create-namespace
   ```

1. [Amazon EMR on EKS에 Apache Livy 설치](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-setup.html#job-runs-apache-livy-install)의 5단계부터 계속합니다.