kaijchen commented on code in PR #3861: URL: https://github.com/apache/ozone/pull/3861#discussion_r999201647
########## hadoop-hdds/docs/content/feature/SCM-HA.zh.md: ########## @@ -111,6 +113,67 @@ bin/ozone scm --bootstrap 根据 `ozone.scm.primordial.node.id`,初始化进程将在第二个/第三个节点上被忽略,引导进程将在除原始节点外的所有节点上被忽略。 +## SCM HA 安全 + + + +在一个安全 SCM HA 集群中,我们将执行初始化的 SCM 称为原始 SCM。 +原始 SCM 使用自签名证书启动根 CA,并用于颁发签名证书到它自己和其他 +引导的 SCM。 只有原始 SCM 可以为其他 SCM 颁发签名证书。 +因此,原始 SCM 在 SCM HA 集群中具有特殊的作用,因为它是唯一可以向 SCM 颁发证书的 SCM。 + +原始 SCM 担任根 CA 角色,它使用子 CA 证书签署所有 SCM 实例。 +SCM 使用子 CA 证书来签署 OM/Datanodes 的证书。 + +引导 SCM 时会从原始 SCM 获取签名证书并启动子 CA。 + +SCM 上的子 CA 用于为集群中的 OM/DN 颁发签名证书。 只有原始 SCM 向 OM/DN 颁发证书。 Review Comment: To better reflect the difference of `root CA` vs `sub CA`, how about using `根 SCM` (`root SCM`) and `子 SCM` (`sub SCM`)? The English text used `Primordial SCM` and `Bootstrap SCM` though. -- This is an automated message from the Apache Git Service. To respond to the message, please log on to GitHub and use the URL above to go to the specific comment. To unsubscribe, e-mail: [email protected] For queries about this service, please contact Infrastructure at: [email protected] --------------------------------------------------------------------- To unsubscribe, e-mail: [email protected] For additional commands, e-mail: [email protected]
