ClickHouse Operator中配置远程集群连接的认证方式

2025-07-04 12:52:10作者：裘晴惠Vivianne

远程集群连接的基本原理

在ClickHouse分布式架构中，远程集群连接是一个核心功能，它允许不同ClickHouse实例之间进行数据交互和查询。ClickHouse Operator作为Kubernetes上的管理工具，提供了便捷的方式来配置这些连接。

默认集群连接配置

当使用ClickHouse Operator部署集群时，Operator会自动生成远程服务器配置文件。默认情况下，集群内部节点间的连接使用安全上下文中的用户凭证进行认证。这体现在配置文件中类似以下内容：

<remote_servers>
    <prod>
        <secret from_env="CLICKHOUSE_INTERNODE_CLUSTER_SECRET" />
        <shard>
            <internal_replication>False</internal_replication>
            <replica>
                <host>chi-fraud-cluster-prod-replica-0</host>
                <port>9000</port>
                <secure>0</secure>
            </replica>
        </shard>
    </prod>
</remote_servers>

自定义认证配置方法

临时连接方案

对于临时性的远程连接需求，可以使用ClickHouse内置的remote表函数，直接在查询中指定认证信息：

SELECT * FROM remote(
    'chi-<chi-name>-<cluster-name>-{0..remote-shard-nummber}-{0..remote-replica-number}',
    database,
    table,
    'username',
    'password'
)

这种方式适合一次性查询或测试场景，不需要持久化配置。

持久化集群配置

对于需要长期使用的远程集群连接，推荐通过Operator的配置文件进行持久化设置。在ClickHouse Operator的配置中，可以通过自定义配置文件来实现：

spec:
  configuration:
    files:
      config.d/remote_cluster.xml: |
        <clickhouse>
          <remote_cluster_name>
             <shard>
               <replica>
                  <host>chi-<chi-name>-<cluster>-0-0.namespace</host>
                  <user>username</user>
                  <password>password</user>
                  <port>9000</port>          
               </replica>
               <replica>
                  <host>chi-<chi-name>-<cluster>-0-1.namespace</host>
                  <user>username</user>
                  <password>password</user>
                  <port>9000</port>          
               </replica>
             </shard>
             <shard>
               <replica>
                ...
               </replica>
             </shard>
          </remote_cluster_name>
        </clickhouse>