Lakeflow Connect データベース コネクタ パイプラインは、TLS を使用して転送中のすべてのデータを暗号化します。 新しく作成されたパイプライン以降、Lakeflow Connect はソース データベース サーバーの TLS 証明書も検証します。 この証明書の検証では、パイプラインが偽装者ではなく目的のサーバーに接続していることを確認し、中間者 (PITM) 攻撃を防ぎます。
このページは、MySQL、PostgreSQL、および SQL Server Lakeflow Connect コネクタに適用されます。
証明書の検証のしくみ
新しいパイプラインがソース データベースに接続すると、Lakeflow Connect は、信頼された CA 証明書に対してサーバーの TLS 証明書を検証します。 証明書を検証できない場合、パイプラインは接続に失敗します。
証明書の検証の変更は、既存のパイプラインには影響しません。 新しく作成されたパイプラインでは、証明書の検証が既定で有効になっています。
既定の検証動作は、コネクタによって異なります。
| コネクタ | CA 証明書が指定されていない場合の既定の動作 |
|---|---|
| MySQL | パイプラインの 接続に失敗します。 MySQL binlog レプリケーション ユーティリティでは JVM トラストストアが使用されないため、MySQL には明示的な CA 証明書が必要です。 接続で CA 証明書を指定するか、 検証をオプトアウトする必要があります。 |
| PostgreSQL | パイプラインは、よく知られているパブリック証明機関 (DigiCert や Let's Encrypt など) を含む JVM の既定のトラストストアを使用して接続します。 PostgreSQL サーバーが認識されたパブリック CA の証明書を使用している場合、アクションは必要ありません。 サーバーでプライベート CA または内部 CA が使用されている場合は、 カスタム CA 証明書を指定する必要があります。 |
| SQL Server | パイプラインは、よく知られているパブリック証明機関を含む JVM の既定のトラストストアを使用して接続します。 SQL Serverが認識されたパブリック CA の証明書を使用している場合、アクションは必要ありません。 サーバーでプライベート CA または内部 CA が使用されている場合は、 カスタム CA 証明書を指定する必要があります。 |
CA 証明書を指定する
データベース サーバーがプライベート CA または内部 CA の証明書を使用している場合、または MySQL を使用している場合は、パイプラインが使用する Unity カタログ接続に CA 証明書を追加します。
CA 証明書を使用して接続を作成または更新する
Databricks ユーザーインターフェース
新しい接続を作成するときに CA 証明書を追加するには:
- Azure Databricks ワークスペースで、
データ アイコン - [ 作成 ] をクリックし、[ 接続の作成] を選択します。
- 接続名を入力し、データベースの接続の種類を選択します。
- [次へ] をクリックします。
- [ 認証 ] ページで、ホスト、ポート、およびログイン資格情報を入力します。
- [SSL 証明書] フィールドに、CA 証明書ファイル (PEM 形式) の内容を貼り付けます。
- [接続の作成] をクリックします。
既存の接続を更新して CA 証明書を追加するには:
- Azure Databricks ワークスペースで、
データ アイコン - カタログ エクスプローラーで、接続に移動します。
- 編集 をクリックします。
- [SSL 証明書] フィールドに、CA 証明書ファイル (PEM 形式) の内容を貼り付けます。
- 変更を保存。
Databricks コマンドラインインターフェース (CLI)
接続の作成時に、 options オブジェクトに CA 証明書を含めます。 次の例は、各コネクタの CA 証明書オプションを示しています。
Mysql:
databricks connections create --json '{
"name": "my_mysql_connection",
"connection_type": "MYSQL",
"options": {
"host": "<host>",
"port": "3306",
"user": "<username>",
"password": "<password>",
"ssl_ca": "<CA certificate content in PEM format>"
}
}'
Postgresql:
databricks connections create --json '{
"name": "my_postgresql_connection",
"connection_type": "POSTGRESQL",
"options": {
"host": "<host>",
"port": "5432",
"database": "<database>",
"user": "<username>",
"password": "<password>",
"ssl_ca": "<CA certificate content in PEM format>"
}
}'
SQL Server:
databricks connections create --json '{
"name": "my_sqlserver_connection",
"connection_type": "SQLSERVER",
"options": {
"host": "<host>",
"port": "1433",
"user": "<username>",
"password": "<password>",
"ssl_ca": "<CA certificate content in PEM format>"
}
}'
証明書の検証を無効にする (推奨されません)
Warnung
証明書の検証を無効にすると、パイプラインが中間者 (PITM) 攻撃に公開され、運用環境では使用できません。 Databricks では、代わりに CA 証明書を提供することをお勧めします。
環境で証明書の検証がサポートされていない場合は、CA に対してサーバー証明書を検証せずに、サーバー証明書を信頼するように接続を構成できます。 接続オプションで trustServerCertificate を true に設定します。
Databricks ユーザーインターフェース
カタログ エクスプローラーで接続を作成または編集する場合は、[ 信頼サーバー証明書 ] を選択して証明書の検証をスキップします。
Databricks コマンドラインインターフェース (CLI)
databricks connections create --json '{
"name": "my_connection",
"connection_type": "POSTGRESQL",
"options": {
"host": "<host>",
"port": "5432",
"database": "<database>",
"user": "<username>",
"password": "<password>",
"trustServerCertificate": "true"
}
}'
HIPAA ワークスペースと FedRAMP ワークスペース
HIPAA または FedRAMP コンプライアンス構成のワークスペースでは、Lakeflow Connect はすべてのデータベース コネクタ接続に TLS バージョン 1.2 または 1.3 を適用します。 この要件をオフにすることはできません。
TLS 証明書エラーのトラブルシューティング
TLS 証明書エラーが原因でパイプラインが失敗した場合は、インジェスト ゲートウェイ パイプラインのパイプライン イベント ログを確認します。 イベント ログには、証明書の検証エラーなどの接続エラーと、問題の診断に役立つ詳細が記録されます。
一般的な原因と解決策:
| エラー | 想定される原因 | Resolution |
|---|---|---|
PKIX path building failed または unable to find valid certification path |
サーバーの CA 証明書が JVM トラストストアになく、カスタム CA 証明書が提供されていません。 | Unity カタログ接続で CA 証明書を指定します。 |
SSL connection has been closed unexpectedly |
サーバーは TLS をサポートしていないか、別の TLS バージョンを必要とします。 | データベース サーバーで TLS が有効になっていることを確認します。 HIPAA ワークスペースと FedRAMP ワークスペースでは、TLS 1.2 または 1.3 が必要です。 |
Connection refused またはパイプラインが MySQL ですぐに失敗する |
CA 証明書が指定されておらず、 trustServerCertificate が設定されていません。 |
MySQL の CA 証明書を指定するか、証明書を指定できない場合は検証をオプトアウトします。 |
コネクタ固有のトラブルシューティングの詳細については、次を参照してください。