184 похожих чатов

Добрый вечер, на странице https://clickhouse.com/docs/en/guides/sre/keeper/clickhouse-keeper/ есть описание кластера, в котором

есть имя и пароль.

<shard>
<replica>
<host>chnode2.domain.com</host>
<port>9000</port>
<user>default</user>
<password>ClickHouse123!</password>

С пояснением "username that will be used to authenticate to the cluster instances"/"password for the user define to allow connections to cluster instances"
Зачем нужен этот пользователь?

12 ответов

14 просмотров

https://docs.altinity.com/operationsguide/security/clickhouse-hardening-guide/user-hardening/#:~:text=User%20hardening%20security%20procedures.,by%20hostname%20or%20IP%20address

Ilya-Golshtein Автор вопроса
critskiy
https://docs.altinity.com/operationsguide/security...

Прошу прощения, а можно ткнуть в конкретное место этого текста? Не нашел ничего, отвечающего на вопрос о смысле user и password в описании кластера.

Ilya Golshtein
Прошу прощения, а можно ткнуть в конкретное место ...

сервера КХ друг про друга не знают, никакого кластера в КХ нету, все сервера абсолютно независимы. Кластер получается в момент запроса, когда Distributed таблица выполняет запрос, она подключается к другим нодам как обычный клиент, используя пользователь и пароль (или secret)

Ilya-Golshtein Автор вопроса
Denny [Altinity]
сервера КХ друг про друга не знают, никакого класт...

Да, ок, понятно, спасибо. Получается, что row level security и Distributed - разные миры, и либо одно, либо другое? Или RLS умеет поддерживать сама таблица Distributed? Ну и всякий там kerberos, LDAP и прочие умные слова, а вот здесь мы запишем пароль плэйнтекстом в конфиг?

Ilya Golshtein
Да, ок, понятно, спасибо. Получается, что row lev...

это все перперндикулярные вещи, row level security будет работать, там init пользователь прокидывается в контексте запроса. row level security нельзя наложить на Distrbiuted но это совсем другой вопрос, это и не важно, оно будет работать на MergeTree (и гранты все тоже самое) >Ну и всякий там kerberos, LDAP и прочие умные слова, а вот здесь мы запишем пароль плэйнтекстом в конфиг? нене девид блейн, это про не хранение пароля на клиенте, а не про сервер, если ты сервере уже рут, то пароли плейтекстом уже мало что меняют ну есть варианты, можно использовать secret и тогда не нужен user/password, но secret тоже плейн-текстом, или можно использовать auth по ip, и ходить без пароля с сервера на сервер (default-м). Но все тоже самое, если ты на сервере рут, то ты уже в любом случае сможешь к другим серверам КХ ходить без паролей.

Denny [Altinity]
это все перперндикулярные вещи, row level security...

Я пропустил RLS, задам наивный вопрос. "Нельзя наложить RLS на Distributed", это by design, или "стремились катануть киллер-фичу, но что-то пошло не так, и сломалось об дистрибутед"?

Ilya-Golshtein Автор вопроса
Denny [Altinity]
это все перперндикулярные вещи, row level security...

Да, понял. Просто я решил, что в MergeTree или что-то, поверх чего сделан Distributed, будут обращаться от имени того самого пользователя, прописанного в конфиге кластера. Но это конечно же ерунда. Спасибо!

Alex Krash
Я пропустил RLS, задам наивный вопрос. "Нельзя нал...

она работает в самом низу MergeTree, т.е. она работает, просто накладывается на MergeTree, а не на Distributed, никакой проблемы нет. есть хотелка у людей которые хотят настраивать все только на выделенном инициаторе, и накладывать гранты и полиси на Distributed, не делая ничего на дата-нодах, но это редкий юзкейз

Ilya-Golshtein Автор вопроса
Alex Krash
Я пропустил RLS, задам наивный вопрос. "Нельзя нал...

Кажется логичным, что RLS работает там, где хранятся данные. Т.е. не на уровне самой Distributed

Denny [Altinity]
она работает в самом низу MergeTree, т.е. она рабо...

понял. стандартная тема для CH - каждая нода конфигурится по-своему, и можно создать конструкцию, где RLS на ноде 1 != RLS на ноде 2. Типа на ноде 1 сказано "этому парню давай читать только чётные строки", а на ноде 2 сказано "этому парню дай читать только строки с остатком от деления на 71 == 4". а потребность пользователя здорового человека - "дайте мне возможность консистентно управлять RLS для всего кластера из одного места/в рамках запроса"?

Alex Krash
понял. стандартная тема для CH - каждая нода конфи...

сейчас можно в зукипере хранить пользователей / права и управлять из одного места, только документации про это нету 🙂

Похожие вопросы

Обсуждают сегодня

Добрый вечер. Есть вопрос, а может и предложение. Был у меня диалог в другой группе о делфи и я задался вопросом: "А нельзя ли в делфи цвет //коментария и {комментария} сде...
Kraszx
24
Всем привет! Подскажи, пожалуйста, как передать в TComboBox сразу значение и id записи. На Delphi я делал так: ComboBox1.Items.AddObject('Какое-то значение', Pointer(id запис...
Евгений
13
Мдя, прикол, боевая сборка запускается (именно под отладчиком) после F9 примерно полторы минуты (97 секунд если быть точным). Начал копать - проблема детектится сразу - зависа...
Александр (Rouse_) Багель
38
Здравствуйте, вопрос по структурам данных. Были у вас случаи, когда пришлось писать деревья или двунаправленные списки?
/ /
50
Товарищи, кто работа с iphelper? Или может я в самой логике ошибки фигачу, не пойму.... var ifTable : PMIB_IFTABLE; size, corSize: DWORD; Buffer ...
Warfarellen
4
я так понимаю, я так подозреваю, что создание такого плагина для человека, кто умеет писать плагины для делфи потребует минут 5-10 времени. но это мое подозрение. хотелось бы ...
Kraszx
7
Коллеги, добрый вечер. Создаю коллекцию от TFPGMap, ключ - перечисление, значение - целое. Нужно отсортировать коллекцию по значению. Как это можно сделать?
Kirill Filippenok
11
Скажи а ты когда этот канал создавал ты уже дельфи не любил, или это со временем пришло?
Роман Лях (rgreat)
18
Привет, такой вопросик появился кажется ли вам что Rust слишком сложный/строгий для высокоуровневого программирования и слишком "безопасный"/строгий для низкоуровневого?
Крокант
10
Всем привет! Использую кастомное модальное диалоговое окошко, все по классике - mrOK, mrCancel как ModalResult. Однако есть нюанс - в главной форме есть универсальный обработч...
Олег Гранишевский
20
Карта сайта