Validação de certificado de servidor TLS

O pipeline do conector de banco de dados LakeFlow Connect criptografa todos os dados em trânsito usando TLS. A partir de um pipeline recém-criado, LakeFlow Connect também valida o certificado TLS do servidor de banco de dados de origem. Essa validação de certificado verifica se o pipeline está se conectando ao servidor pretendido — e não a um impostor — e impede ataques do tipo "pessoa no meio" (PITM).

Esta página aplica-se aos conectores LakeFlow Connect para MySQL, PostgreSQL e SQL Server .

Como funciona a validação de certificados

Quando um novo pipeline se conecta a um banco de dados de origem, LakeFlow Connect verifica o certificado TLS do servidor comparando-o com um certificado de CA confiável. O pipeline não consegue se conectar se o certificado não puder ser verificado.

As alterações na validação de certificados não afetam o pipeline existente. Os pipelines recém-criados têm a validação de certificado ativada por default.

O comportamento de validação default varia conforme o conector:

Conector	Comportamento padrão quando nenhum certificado de CA é fornecido.
MySQL	A conexão com o pipeline falhou . MySQL exige um certificado CA explícito porque os utilitários de replicação do binlog MySQL não usam o armazenamento de certificados confiáveis JVM . Você deve fornecer um certificado de CA na conexão ou optar por não realizar a validação.
PostgreSQL	O pipeline se conecta usando o armazenamento de certificados confiáveis default JVM , que inclui autoridades de certificação públicas conhecidas (por exemplo, DigiCert e Let's Encrypt). Se o seu servidor PostgreSQL utiliza um certificado de uma CA pública reconhecida, nenhuma ação é necessária. Se o seu servidor utiliza uma CA privada ou interna, você deve fornecer um certificado de CA personalizado.
SQL Server	O pipeline se conecta usando o armazenamento de certificados confiáveis default JVM , que inclui autoridades de certificação públicas bem conhecidas. Se o seu SQL Server utiliza um certificado de uma CA pública reconhecida, nenhuma ação é necessária. Se o seu servidor utiliza uma CA privada ou interna, você deve fornecer um certificado de CA personalizado.

Forneça um certificado CA.

Se o seu servidor de banco de dados usa um certificado de uma CA privada ou interna — ou se você está usando o MySQL — adicione o certificado da sua CA à conexão do Unity Catalog que o pipeline utiliza.

Criar ou atualizar uma conexão com um certificado de CA

Databricks UI

Para adicionar um certificado CA ao criar uma nova conexão:

1. No workspace Databricks , clique em Catálogo .
2. Clique em Criar e selecione Criar conexão .
3. Insira um nome para a conexão e selecione o tipo de conexão para seu banco de dados.
4. Clique em Avançar .
5. Na página de autenticação , insira o host, a porta e as credenciais de login.
6. No campo do certificado SSL , cole o conteúdo do seu arquivo de certificado da Autoridade Certificadora (formato PEM).
7. Clique em Criar conexão .

Para atualizar uma conexão existente e adicionar um certificado CA:

1. No workspace Databricks , clique em Catálogo .
2. No Explorador de Catálogo, acesse a conexão.
3. Clique em Editar .
4. No campo do certificado SSL , cole o conteúdo do seu arquivo de certificado da Autoridade Certificadora (formato PEM).
5. Salve suas alterações.

Databricks CLI

Inclua o certificado CA no objeto options ao criar uma conexão. Os exemplos a seguir mostram a opção de certificado CA para cada conector.

MySQL:

Bash

databricks connections create --json '{
  "name": "my_mysql_connection",
  "connection_type": "MYSQL",
  "options": {
    "host": "<host>",
    "port": "3306",
    "user": "<username>",
    "password": "<password>",
    "ssl_ca": "<CA certificate content in PEM format>"
  }
}'

PostgreSQL:

Bash

databricks connections create --json '{
  "name": "my_postgresql_connection",
  "connection_type": "POSTGRESQL",
  "options": {
    "host": "<host>",
    "port": "5432",
    "database": "<database>",
    "user": "<username>",
    "password": "<password>",
    "ssl_ca": "<CA certificate content in PEM format>"
  }
}'

SQL Server:

Bash

databricks connections create --json '{
  "name": "my_sqlserver_connection",
  "connection_type": "SQLSERVER",
  "options": {
    "host": "<host>",
    "port": "1433",
    "user": "<username>",
    "password": "<password>",
    "ssl_ca": "<CA certificate content in PEM format>"
  }
}'

Desativar a validação de certificado (não recomendado)

atenção

Desativar a validação de certificados expõe seu pipeline a ataques do tipo "pessoa no meio" (PITM) e não deve ser usado em ambientes de produção. A Databricks recomenda fornecer um certificado de Autoridade Certificadora (CA).

Se o seu ambiente não suporta validação de certificados, você pode configurar a conexão para confiar no certificado do servidor sem verificá-lo em uma Autoridade Certificadora (CA). Defina trustServerCertificate como true nas opções de conexão.

Databricks UI

Ao criar ou editar uma conexão no Explorador de Catálogo, selecione Confiar no certificado do servidor para ignorar a validação do certificado.

Databricks CLI

Bash

databricks connections create --json '{
  "name": "my_connection",
  "connection_type": "POSTGRESQL",
  "options": {
    "host": "<host>",
    "port": "5432",
    "database": "<database>",
    "user": "<username>",
    "password": "<password>",
    "trustServerCertificate": "true"
  }
}'

Espaço de trabalhoHIPAA e FedRAMP

Em ambientes de trabalho com configurações compliance HIPAA ou FedRAMP, LakeFlow Connect impõe o uso do TLS versão 1.2 ou 1.3 para todas as conexões de conectores de banco de dados. Este requisito não pode ser desativado.

Solução de problemas de erros de certificado TLS

Se um pipeline falhar devido a um erro de certificado TLS, verifique o log de eventos do pipeline do pipeline de ingestão. O log de eventos armazena erros de conexão, incluindo falhas na validação de certificados, com detalhes que ajudam a diagnosticar o problema.

Causas e soluções comuns:

Erro	Causa provável	Resolução
PKIX path building failed ou unable to find valid certification path	O certificado da Autoridade Certificadora (CA) do servidor não está no armazenamento de certificados confiáveis da JVM e nenhum certificado de CA personalizado foi fornecido.	Forneça o certificado da Autoridade Certificadora (CA) na conexão Unity Catalog .
SSL connection has been closed unexpectedly	O servidor não suporta TLS ou requer uma versão diferente de TLS.	Verifique se o TLS está habilitado no servidor de banco de dados. Em ambientes de trabalho HIPAA e FedRAMP, é necessário o TLS 1.2 ou 1.3.
Connection refused ou o pipeline falha imediatamente no MySQL	Nenhum certificado CA foi fornecido e trustServerCertificate não está definido.	Forneça o certificado da Autoridade Certificadora (CA) para o MySQL ou opte por não realizar a validação caso não possa fornecer um certificado.

Para obter mais informações sobre solução de problemas específicos do conector, consulte:

• Solução de problemas de ingestão de dados no MySQL
• Solução de problemas de ingestão do PostgreSQL
• Solução de problemas de ingestão do SQL Server