混合環境でSSLを使用する

混合環境では、Helixサーバ、プロキシ、ブローカ相互の連結について、その他の連結に関して選択されている暗号化方法とは無関係に、プレーンテキストまたはSSLのどちらかに構成することが可能です。以下の例について検討します。

• クリアテキストからSSLへの移行作業中に、古いHelixサーバアプリケーションからのプレーンテキスト接続を受け入れ、それらのリクエスト(SSLにより暗号化)をSSL接続を要求するHelixサーバに送るようにHelixブローカを構成することができます。
• Helixブローカがlistenにtcp:old-server:1666するよう設定し、すべてのリクエストをtargetのssl:new-server:1667にリダイレクトするような構成が考えられます。新しいHelixサーバアプリケーションのユーザは、(P4PORTをssl:new-server:1667に設定して)SSLを使用して直接アップグレード済みのHelixサーバに接続し、一方で古いHelixサーバアプリケーションのユーザは、(P4PORTをold-server:1666に設定して)Helixブローカへの接続時にプレーンテキストの使用を続けることができます。移行作業が完了したら、old-server:1666のブローカを非アクティブにすることができます(または、SSL接続を要求するように再構成することができます)。プレーンテキストでの接続を引き続き試行しているその他のレガシープロセスやスクリプトについては、手動でアップグレードすることができます。

HelixプロキシとHelixブローカでは、-Gcフラグと-Gfフラグがサポートされており、P4SSLDIR環境変数が使用されています。これら2つのプロセスに対し、単一のHelixサーバの場合と同様に証明書とキーのペアを生成(およびフィンガープリントを確認)することができます。2つのサーバがSSLで通信するためには、ダウンストリームのサーバ(通常はレプリカサーバ、プロキシ、またはブローカのプロセス)の管理者もまたp4 trustコマンドを使用して、ダウンストリームサーバに関連付けられたサービスユーザ用のP4TRUSTファイルを生成する必要があります。

SSLでない環境からSSL環境に移行する際は、管理者の責任で新しいサーバのフィンガープリントを安全な方法でユーザに通知してください。