HDFS block access token认证机制

最新推荐文章于 2024-06-07 12:43:01 发布
最新推荐文章于 2024-06-07 12:43:01 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: HDFS Hadoop 文章标签: hdfs big data hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Androidlushangderen/article/details/122182477
版权

文章目录

前言

在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实际DataNode的数据,这岂不是会造成很严重的数据安全问题?这里笔者想说的是在分布式存储系统中,数据访问的检查不仅仅在master服务端要做,在slave实际存储端也得加上一道防护层。本文我们就来聊聊HDFS的DataNode的这套防护机制:block access token。

Block access token

Block access token按照字面意思理解为就是数据访问的令牌,意为用户访问实际的数据需要有这样一个令牌然后才能做数据的后续读写操作。这个检验操作是发生在DataNode端的,因此它能够保证在block层面的访问上,用户的行为是经过验证的,这里的验证包括以下几点:

  • 访问行为是否是来自预期的用户
  • 访问操作是否是预期的行为
  • 访问的数据是否是预期的数据

在DataNode的角度来看,它没有文件的概念,其所有的操作是按照block维度进行的。

Block access token按照访问行为能够分为以下4种类型:

  public static enum AccessMode {
    READ, WRITE, COPY, REPLACE
  };
  • READ,用于读取block数据的时候
  • WRITE,用于写block数据的时候
  • COPY/REPLACE,用于balancer进行数据平衡的时候

HDFS block access token的原理

HDFS本身在数据安全方面已经有比较成熟的设计,包括Kerberos+Delegation token认证体系,通过Kerberos,Delegation token,它能保证数据的访问者(client和application)是经过安全认证的。

相比较而言,社区对于block access token的设计是采用了比较轻量级的设计实现的。社区设计文档对block access token的形容是lightweight,short lived。而且此token不需要持久化,也不需要像Delegation token那样会有renew的行为。

接下来一个关键的问题来了:block access token是如何生成的,它的认证过程又是如何的呢?

社区实现采用的是一种对称加密算法,NameNode和DataNode共同享有一个密钥key,然后通过加密算法,DN对token内容做一个加密计算,算出的结果值如果与token内本身保存的加密内容(NameNode生成token时计算好的)是一致的话,就判断说这个token是有效的。

Block access token的认证过程如下:

  • 步骤1:NameNode启动生成一个随机密钥key,然后定期通过DataNode的heartbeat返回到DataNode这边在内存里做保存。这个密钥key会周期性进行更新,默认10个小时一次更新。
  • 步骤2:Client用户在读写数据的时候会向NameNode请求block的信息,在这个过程中NameNode会额外为Client生成一个对应访问模式的access token,包含在这个block信息内。
  • 步骤3:随后Client会携带这个token向实际存储数据的DataNode进行数据的访问。
  • 步骤4:DataNode验证Client的token来判断其访问行为是否是合理的。

对于步骤2,NameNode相关代码如下:

  private GetBlockLocationsResult getBlockLocationsInt(
      FSPermissionChecker pc, final String srcArg, long offset, long length,
      boolean needBlockToken)
      throws IOException {
   
    String src = srcArg;
    //...
    
    // 这里构造LocatedBlock信息的时候会进行token的构造
    final LocatedBlocks blocks = blockManager.createLocatedBlocks(
        inode.getBlocks(iip.getPathSnapshotId()), fileSize,
        isUc, offset, length, needBlockToken, iip.isSnapshot(), feInfo);

    // Set caching information for the located blocks.
    for (LocatedBlock lb : blocks.getLocatedBlocks()) {
   
      cacheManager.setCachedLocations(lb);
    }

    final long now = now();
    boolean updateAccessTime = isAccessTimeSupported() && !isInSafeMode()
        && !iip.isSnapshot()
        && now > inode.getAccessTime() + getAccessTimePrecision();
    return new GetBlo
最低0.47元/天 解锁文章
Android路上的人
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HDFS内部的认证机制
走在前往架构师的路上
06-05 1万+
前言 数据的安全性是一直被大家所重视的.对于一个存有大规模数据量的成熟企业来说,如何做到数据不丢失,不损坏,不窃取就显得格外重要了.而HDFS恰恰满足了”海量数据规模”的特点,所以如果我们用HDFS存储大量的非结构化的数据,我们如何保证其中数据的安全性呢?在之前的文章中,有提到过一个”Encryption Zone”数据加密空间的概念.Encryption Zone可以保证用户在指定的加密空
Hdfs的一系列坑坑洼洼,认证认证,还是***认证
qq_42667939的博客
12-28 1438
这是一篇经验(教训)总结,以此纪念这段时间来由于hdfs认证踩的大大小小的坑 首先,来个开胃菜 文件名错误 这个问题,属于是吃一堑就是不长智了。 虽然这是一个小小的粗心bug,但绝不能因此忽略其严重性 我的第一个Unable to obtain password from user则是来源于此 Bug: 当在Linux服务器中运行测试程序时报错:Unable to obtain password from user 原因分析: 初步判断是配置文件问题,经过排查配置文件未发现问题 阅读CEA项目组相关代码
Hadoop安全机制之令牌
weixin_30329623的博客
04-17 194
介绍 Hadoop中的安全机制包括认证和授权。而Hadoop RPC中采用SASL(Simple Authentication and Security Layer,简单认证和安全层)进行安全认证,具体认证方法涉及Kerberos和DIGEST-MD5两种。 在这种机制中,Kerberos用于在客户端和服务器端之间建立一条安全的网络连接,之后客户端可通过该连接从服务器端...
Block Token 原理分析
weixin_30889885的博客
04-20 375
介绍 文件权限检查由NameNode执行,而不是DataNode执行。 默认情况下,任何客户端都可以访问只有其块ID的任何块。 为了解决这个问题,Hadoop引入了块访问令牌的概念。 块访问令牌由NameNode生成,并在DataNode端进行合法性验证。块访问令牌作为Hadoop数据传输协议的一部分或通过HTTP查询参数来呈现。一个典型的应用场景如下:一个客户端向NameNode发...
Hadoop HDFS 文件权限验证
大数据流浪法师的学习笔记与分享
11-05 437
hdfs的文件权限机制与linux系统的文件权限机制类似 r:read w:write x:execute 权限x对于文件表示忽略,对于文件夹表示是否有权限访问其内容 如果linux系统用户zhangsan使用Hadoop命令创建一个文件,那么这个文件在HDFS当中的owner就是zhangsan HDFS文件权限的目的,防止好人做错事,而不是阻止坏人做坏事。 HDFS相信你告诉我你是谁,你...
HDFS的安全身份验证
互联网知识分享
07-23 1038
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
hdfs的文件权限验证
weixin_44704605的博客
10-12 1318
hdfs的文件权限机制与linux系统的文件权限机制类似 r:read w:write x:execute 权限x对于文件表示忽略,对于文件夹表示是否有权限访问其内容 如果linux系统用户zhangsan使用Hadoop命令创建一个文件,那么这个文件在HDFS当中的owner就是zhangsan HDFS文件权限的目的,防止好人做错事,而不是阻止坏人做坏事。HDFS相信你告诉我你是谁,你就是谁 ...
数据仓库搭建_hdfs,ACL权限认证(可以精确到个人的权限)
weixin_48370579的博客
08-04 947
1、数据仓库搭建 数据仓库搭建 前提条件,Hadoop,hive 数据仓库分层作用 1、控制数据访问权限 2、减少重复计算,减少重复开发 3、为了更好的管理数据 4、让表使用者更方便使用数据 数据规范 1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的, 2、命令规范, 库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录 表命名规范,每个定义...
HDFS读写机制.docx
最新发布
07-24
一、读写机制 1、数据写入 2、数据读取 二、基础API案例 1、基础演示接口 2、命令API用法 3、合并切割文件 三、机架感知 四、网络拓扑
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
总结来说,遇到HDFS_DELEGATION_TOKEN过期的问题,应检查Kerberos环境配置,确保令牌的续订机制正常工作。这可能涉及调整Spark或Hadoop的相关配置,如使用keytab文件、禁用HDFS连接缓存或优化令牌续订逻辑。同时,...
HDFS架构和实现机制简介
01-07
本节将对 HDFS 的整体架构和基本实现机制进行简单介绍。 HDFS 整体架构 HDFS 是一个主从 Master/Slave 架构。一个 HDFS 集群包含一个 NameNode,这是一个 Master Server,用来管理文件系统的命名空间,以及调节...
HDFS block丢失,导致hadoop进入安全模式的解决方案
08-29
HDFS block丢失hadoop进入安全模式(Safe mode)的解决方法
深入 Hadoop 的心脏:HDFS 架构解析与工作机制
06-21
Hadoop 的分布式文件系统(HDFS)是大数据处理的基石,它为存储大规模数据集提供了一个可靠的基础架构。HDFS 以其高吞吐量、可扩展性和容错性而著称,是 Hadoop 生态系统中不可或缺的一部分。以下是关于 HDFS 架构...
一篇文章搞懂 HDFS 的 Kerberos 认证
热门推荐
Shockang的博客
06-10 2万+
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 Kerberos 认证 Kerberos 是一种网络认证协议,它使用加密来提供高度安全的认证机制。 这种认证机制由于具备以下功能而大受欢迎。 相互认证:在进行会话之前,客户端和服务器可以进行相互认证。 单点登录:一旦登录,令牌(token)的有效时间就确定了。令牌有效性的持续时间决定了会话的最长时间。
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 175
在没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
聊聊Hadoop安全认证体系:Delegation TokenBlock Access Token
走在前往架构师的路上
11-29 3437
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
HDFS_副本和认证
Regan_Hoo的博客
11-20 360
一、 三副本策略 三副本策略的含义1)如果写请求方所在机器是其中一个DataNode,则直接存放在本地,否则随机在集群中选择一个DataNode2)第二个副本存放在不同于第一个副本所在的机架3)第三个副本存放于第二个副本所在的机架,但是属于不同的节点 三副本策略的使用需要开启机架感知功能,才能正常使用副本放置策略:<name>net.topology.script.file.name</name>
C# WPF入门学习主线篇(七)—— Label常见属性和事件
weixin_56595425的博客
06-07 1826
在《C# WPF入门学习主线篇(七)—— Label常见属性和事件》一文中,我们详细探讨了 WPF 中 `Label` 控件的常见属性和事件,包括 `Content`、`FontSize`、`Foreground`、`Background` 等属性,以及 `MouseEnter`、`MouseLeave`、`MouseDown` 和 `KeyDown` 等事件。通过丰富的示例代码,本文帮助读者掌握如何自定义 `
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值