卡巴斯基容器安全
配置外部 ClickHouse DBMS 设置
配置外部 ClickHouse DBMS 设置
要配置卡巴斯基容器安全设置以使用外部 ClickHouse DBMS:
- 在 values.yaml 配置文件中,指定该解决方案使用外部 ClickHouse DBMS:
default:
kcs-clickhouse:
external: true
- 指定使用外部 ClickHouse DBMS 所需的变量:
configmap:infraconfig:type: fromEnvsenvs:...<使用外部 ClickHouse DBMS 所需的变量>在本部分中,您必须指定以下变量:
EXT_CLICKHOUSE_PROTOCOL是用于连接外部 ClickHouse DBMS 的协议。EXT_CLICKHOUSE_HOST是用于连接外部 ClickHouse DBMS 的主机。EXT_CLICKHOUSE_PORT是用于连接外部 ClickHouse DBMS 的端口。EXT_CLICKHOUSE_DB_NAME是准备与卡巴斯基容器安全配合使用的数据库的名称。EXT_CLICKHOUSE_COLD_STORAGE_NAME是磁盘的名称,ClickHouse 将在该磁盘上长期存储事故相关数据。EXT_CLICKHOUSE_STORAGE_POLICY_NAME是数据存储策略的名称,ClickHouse 将根据该策略将事故相关数据传输到磁盘进行长期存储。如果您使用同一个磁盘进行短期和长期数据存储,则无需指定
EXT_CLICKHOUSE_COLD_STORAGE_NAME和EXT_CLICKHOUSE_STORAGE_POLICY_NAME的值。EXT_CLICKHOUSE_SSL_AUTH是 ClickHouse 用户进行 SSL 授权所需的变量。如果指定值为“true”,则使用客户端证书无需密码即可进行授权。如果
TLS_INTERNAL为“false”,则EXT_CLICKHOUSE_SSL_AUTH也必须为“false”。EXT_CLICKHOUSE_ROOT_CA_PATH是 CA 证书的路径,如果使用 https 协议连接 ClickHouse (EXT_CLICKHOUSE_PROTOCOL: https),则需要指定该路径。您可以通过下列其中一种方式指定路径:- 将 ClickHouse CA 证书放置在路径所指定的目录中。在这种情况下,您必须取消
secret.cert-kcs-clickhouse-ca块的注释。 - 使用 Vault 以存储证书数据。在这种情况下,您必须取消
vault.certificate部分中cert-kcs-clickhouse-ca块的注释。
- 将 ClickHouse CA 证书放置在路径所指定的目录中。在这种情况下,您必须取消
- 指定使用外部 ClickHouse DBMS 所需的 secret 值:
configmap:secret:infracreds:type: fromEnvsenvs:...<使用外部 ClickHouse DBMS 所需的 secret>在本部分中,您必须指定以下变量:
EXT_CLICKHOUSE_WRITE_USER是为与卡巴斯基容器安全配合使用而创建的具有写入权限的用户的名称。CLICKHOUSE_WRITE_PASSWORD是为与卡巴斯基容器安全配合使用而创建的具有写入权限的用户的密码。EXT_CLICKHOUSE_READ_USER是为与卡巴斯基容器安全配合使用而准备的具有读取权限的用户的名称。CLICKHOUSE_READ_PASSWORD是为与卡巴斯基容器安全配合使用而创建的具有读取权限的用户的密码。如果
EXT_CLICKHOUSE_SSL_AUTH设置为“true”,则不使用CLICKHOUSE_READ_PASSWORD和CLICKHOUSE_WRITE_PASSWORD。
还可以使用 Vault secret 存储来指定用户名和密码。
文章 ID: 298743, 上次审阅: 2025年5月20日