오존 TDE 설정 프로세스 및 사용법은 HDFS TDE와 매우 유사합니다. 주요 차이점은 버킷이 생성 될 때 Ozone 버킷 수준에서 Ozone TDE가 활성화된다는 것입니다.
키 관리 서버 설정
TDE를 사용하려면 관리자는 키 관리 서버를 설정하고 해당 URI를 Ozone / HDFS에 제공해야합니다. Ozone과 HDFS는 동일한 키 관리 서버를 사용할 수 있으므로이 구성은 hdfs-site.xml을 통해 제공 할 수 있습니다 .
특성값
| hadoop.security.key.provider.path | KMS uri. 예 : kms : // http @ kms-host : 9600 / kms |
투명한 데이터 암호화 사용
클러스터에 대해 이미 구성된 경우 암호화 키 생성을 진행하고 암호화 된 버킷을 활성화 할 수 있습니다.
암호화 된 버킷을 생성하려면 클라이언트는 다음을 수행해야합니다.
- HDFS 암호화 영역을 사용하는 방법과 유사한 hadoop 키 CLI로 버킷 암호화 키를 생성합니다.
위의 명령은 보호하려는 버킷에 대한 암호화 키를 생성합니다. 키가 생성되면 버킷에 데이터를 읽고 쓸 때 Ozone에 해당 키를 사용하도록 지시 할 수 있습니다.
- 버킷에 암호화 키를 할당합니다.
ozone sh bucket create -k encKey /vol/encryptedBucket
이 명령 이후, encryptedBucket에 기록 된 모든 데이터 는 encKey를 통해 암호화되며 클라이언트를 읽는 동안 키 관리 서버와 통신하고 키를 읽고 해독합니다. 즉, Ozone에 저장된 데이터는 항상 암호화됩니다. 미사용 데이터가 암호화된다는 사실은 클라이언트와 최종 사용자에게 완전히 투명합니다.