Helix Coreサーバ管理者ガイド (2020.1)
混合環境でSSLを使用する
混合環境では、Helixサーバ、プロキシ、ブローカ相互の連結について、その他の連結に関して選択されている暗号化方法とは無関係に、プレーンテキストまたはSSLのどちらかに構成することが可能です。 以下の例について検討します。
- クリアテキストからSSLへの移行作業中に、古いHelixサーバアプリケーションからのプレーンテキスト接続を受け入れ、それらのリクエスト(SSLにより暗号化)をSSL接続を要求するHelixサーバに送るようにHelixブローカを構成することができます。
- Helixブローカが
listen
にtcp:old-server:1666
するよう設定し、すべてのリクエストをtarget
のssl:new-server:1667
にリダイレクトするような構成が考えられます。 新しいHelixサーバアプリケーションのユーザは、(P4PORT
をssl:new-server:1667
に設定して)SSLを使用して直接アップグレード済みのHelixサーバに接続し、一方で古いHelixサーバアプリケーションのユーザは、(P4PORT
をold-server:1666
に設定して)Helixブローカへの接続時にプレーンテキストの使用を続けることができます。 移行作業が完了したら、old-server:1666
のブローカを非アクティブにすることができます(または、SSL接続を要求するように再構成することができます)。プレーンテキストでの接続を引き続き試行しているその他のレガシープロセスやスクリプトについては、手動でアップグレードすることができます。
HelixプロキシとHelixブローカでは、-Gc
フラグと-Gf
フラグがサポートされており、P4SSLDIR
環境変数が使用されています。 これら2つのプロセスに対し、単一のHelixサーバの場合と同様に証明書とキーのペアを生成(およびフィンガープリントを確認)することができます。 2つのサーバがSSLで通信するためには、ダウンストリームのサーバ(通常はレプリカサーバ、プロキシ、またはブローカのプロセス)の管理者もまたp4 trust
コマンドを使用して、ダウンストリームサーバに関連付けられたサービスユーザ用のP4TRUST
ファイルを生成する必要があります。
SSLでない環境からSSL環境に移行する際は、管理者の責任で新しいサーバのフィンガープリントを安全な方法でユーザに通知してください。