HDFS内部的认证机制

最新推荐文章于 2024-04-18 07:30:00 发布
最新推荐文章于 2024-04-18 07:30:00 发布
阅读量1.5w 收藏 9
点赞数 1
分类专栏: Hadoop HDFS 文章标签: hdfs 数据 安全 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Androidlushangderen/article/details/51591134
版权

前言

数据的安全性是一直被大家所重视的.对于一个存有大规模数据量的成熟企业来说,如何做到数据不丢失,不损坏,不窃取就显得格外重要了.而HDFS恰恰满足了”海量数据规模”的特点,所以如果我们用HDFS存储大量的非结构化的数据,我们如何保证其中数据的安全性呢?在之前的文章中,有提到过一个”Encryption Zone”数据加密空间的概念.Encryption Zone可以保证用户在指定的加密空间路径下,数据是被加/解密的,而且对于用户来说完全透明.详细信息可点击HDFS数据加密空间.但是其实再仔细分析数据加密空间的原理,你会发现他其实是一个局部数据安全处理的过程.因为他有一个路径空间的限制.而且我要每次创建我想要加密的特定路径.那么在HDFS中是否还有其他的安全认证机制,可以弥补这点,做到全局的数据验证呢?本文就带大家了解HDFS中2大验证体系BlockToken验证和Sasl认证.

BlockToken验证

首先介绍的验证机制是BlockToken验证,因为相比较而言,BlockToken验证比Sasl确实也要简单一些.而且BlockToken在Sasl中也会被用到.细看BlockToken这个词,可以被拆分为2个词,Block,Token.我们可以得出以下2点关键信息.

1.BlockToken是针对Block块级别的验证.
2.Token的意思是令牌的意思,基本是用做访问时的验证.

OK,大体有了这么一个理解之后,继续来看一下BlockToken如何做具体的验证的,要解决这个问题,需要弄清楚下面3个问题:

  • BlockToken如何生成的?
  • BlockToken在哪里被验证?
  • BlockToken如何被验证的?

在下面的阐述中,将会一一揭开这些答案.

BlockToken的结构分析

BlockToken的体系结构分析可以帮助我们了解他是如何产生的.如果你仔细观察,查找的话,应该很容易就找到相关类,就是BlockPoolTokenSecretManager.BlockToken就是由这个类调用产生的.但是真正产生BlockToken的操作其实是由其存储的BlockTokenSecretManager做的.所以这里就有一层关系:

BlockPoolTokenSecretManager包含BlockTokenSecretManager,并且每一个blockPool对应一个BlockTokenSecretManager

最终是如下的map存储关系.

private final Map<String, BlockTokenSecretManager> map = 
    new HashMap<String, BlockTokenSecretManager>();

可能会有人有疑问了,为什么按照BlockPool分出这么多的BlockTokenSecretManager,全局维护一个Manager不是更好吗?我的个人看法是HDFS这么做还是想做隔离,blockPool是在每次NameNode做format时产生的,代表着独立的存储空间.所有的Block在各自所属的BlockPool下是全局唯一的.HDFS中是可以有多个BlockPool的..回到前面说的过程,重新来看一下BlockToken的生成调用过程.

  /**
   * See {@link BlockTokenSecretManager#generateToken(ExtendedBlock, EnumSet)}
   */
  public Token<BlockTokenIdentifier> generateToken(ExtendedBlock b,
      EnumSet<AccessMode> of) throws IOException {
    // 选择block所属的BlockPool去生成Token
    return get(b.getBlockPoolId()).generateToken(b, of);
  }

然后进行实际调用方法

  /** Generate an block token for current user */
  public Token<BlockTokenIdentifier> generateToken(ExtendedBlock block,
      EnumSet<BlockTokenIdentifier.AccessMode> modes) throws IOException {
    UserGroupInformation ugi = UserGroupInformation.getCurrentUser();
    String userID = (ugi == null ? null : ugi.getShortUserName());
    return generateToken(userID, block, modes);
  }

  /** Generate a block token for a specified user */
  public Token<BlockTokenIdentifier> generateToken(String userId,
      ExtendedBlock block, EnumSet<BlockTokenIdentifier.AccessMode> modes) throws IOException {
    // 将block相关信息,用户信息,访问模式信息设置入对象中,并返回
    BlockTokenIdentifier id = new BlockTokenIdentifier(userId, block
        .getBlockPoolId(), block.getBlockId(), modes);
    return new Token<BlockTokenIdentifier>(id, this);
  }

blockToken在创建block块的时候,会被构建

  private LocatedBlock createLocatedBlock(final BlockInfo blk, final long pos,
    final AccessMode mode) throws IOException {
    final LocatedBlock lb = createLocatedBlock(blk, pos);
    // 设置blockToken
    if (mode != null) {
      setBlockToken(lb, mode);
    }
    return lb;
  }

进入setBlockToken方法

  public void setBlockToken(final LocatedBlock b,
      final AccessMode mode) throws IOException {
    // 如果开启了BlockToken验证功能
    if (isBlockTokenEnabled()) {
      // Use cached UGI if serving RPC calls.
      if (b.isStriped()) {
        Preconditions.checkState(b instanceof LocatedStripedBlock);
        LocatedStripedBlock sb = (LocatedStripedBlock) b;
        byte[] indices = sb.getBlockIndices();
        Token<BlockTokenIdentifier>[] blockTokens = new Token[indices.length];
        ExtendedBlock internalBlock = new ExtendedBlock(b.getBlock());
        for (int i = 0; i < indices.length; i++) {
          internalBlock.setBlockId(b.getBlock().getBlockId() + indices[i]);
          // 生成blockToken对象
          blockTokens[i] = blockTokenSecretManager.generateToken(
              NameNode.getRemoteUser().getShortUserName(),
              internalBlock, EnumSet.of(mode));
        }
        sb.setBlockTokens(blockTokens);
      } else {
        // // 生成blockToken对象并设置到block中
        b.setBlockToken(blockTokenSecretManager.generateToken(
            NameNode.getRemoteUser().getShortUserName(),
            b.getBlock(), EnumSet.of(mode)));
      }
    }    
  }

这就是blockToken从产

最低0.47元/天 解锁文章
Android路上的人
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hdfs的一系列坑坑洼洼,认证认证,还是***认证
qq_42667939的博客
12-28 1438
这是一篇经验(教训)总结,以此纪念这段时间来由于hdfs认证踩的大大小小的坑 首先,来个开胃菜 文件名错误 这个问题,属于是吃一堑就是不长智了。 虽然这是一个小小的粗心bug,但绝不能因此忽略其严重性 我的第一个Unable to obtain password from user则是来源于此 Bug: 当在Linux服务器中运行测试程序时报错:Unable to obtain password from user 原因分析: 初步判断是配置文件问题,经过排查配置文件未发现问题 阅读CEA项目组相关代码
HDFS的安全身份验证
互联网知识分享
07-23 1046
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
hdfs的文件权限验证
weixin_44704605的博客
10-12 1318
hdfs的文件权限机制与linux系统的文件权限机制类似 r:read w:write x:execute 权限x对于文件表示忽略,对于文件夹表示是否有权限访问其内容 如果linux系统用户zhangsan使用Hadoop命令创建一个文件,那么这个文件在HDFS当中的owner就是zhangsan HDFS文件权限的目的,防止好人做错事,而不是阻止坏人做坏事。HDFS相信你告诉我你是谁,你就是谁 ...
数据仓库搭建_hdfs,ACL权限认证(可以精确到个人的权限)
weixin_48370579的博客
08-04 948
1、数据仓库搭建 数据仓库搭建 前提条件,Hadoop,hive 数据仓库分层作用 1、控制数据访问权限 2、减少重复计算,减少重复开发 3、为了更好的管理数据 4、让表使用者更方便使用数据 数据规范 1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的, 2、命令规范, 库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录 表命名规范,每个定义...
hadoop的HDFS
08-07
12. 安全性:HDFS支持安全模式,通过Hadoop的Kerberos认证机制,确保只有经过身份验证的用户才能访问数据。 总结,Hadoop的HDFS是一个强大的分布式文件系统,它通过分布式存储、数据冗余和容错机制保证了大规模数据...
apache-doris-0.12.0-incubating-src.tar.gz-hdfs_broker.zip 编译ok
12-07
- **安全性**:HDFS Broker 可能集成了 HDFS 的安全特性,如 Kerberos 认证,确保数据访问的安全性。 - **容错机制**:HDFS Broker 可能具有故障切换和负载均衡功能,保证服务的高可用性。 3. **Java 8 编译**: ...
Guardian内部培训
09-30
它整合了多种认证机制和技术,如**Kerberos**、**LDAP**以及自定义的安全组件等,旨在为用户提供便捷、高效的安全管理和控制能力。 - **Guardian组成**: - **Kerberos**:负责用户身份验证。 - **LDAP**:用于...
阿里云 专有云企业版 V3.9.0 文件存储HDFS 安全白皮书 20191017.pdf
06-16
2. **鉴权认证**:文件存储HDFS服务支持多种身份验证机制,如Kerberos、SSL/TLS证书等,确保只有经过身份验证的合法用户和服务可以访问数据。这增强了系统的安全性,防止未授权访问和数据泄露。 3. **权限控制**:...
一篇文章搞懂 HDFS 的 Kerberos 认证
Shockang的博客
06-10 2万+
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 Kerberos 认证 Kerberos 是一种网络认证协议,它使用加密来提供高度安全的认证机制。 这种认证机制由于具备以下功能而大受欢迎。 相互认证:在进行会话之前,客户端和服务器可以进行相互认证。 单点登录:一旦登录,令牌(token)的有效时间就确定了。令牌有效性的持续时间决定了会话的最长时间。
HDFS block access token认证机制
走在前往架构师的路上
12-28 1916
文章目录前言Block access tokenHDFS block access token的原理 前言 在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实
Javaweb访问Hdfs--Kerberos认证
aimangqi8019的博客
08-22 476
开启kerberos debug模式: System.set("java.security.krb5.debug","true"); windows客户端进行kerberos认证: 默认读取的配置文件:C:/Windows/krb5.ini,对应的文件要修改和kerberos server上对应配置,否则认证失败。 转载于:https://www.cnblo...
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 176
在没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
HDFS_副本和认证
Regan_Hoo的博客
11-20 362
一、 三副本策略 三副本策略的含义1)如果写请求方所在机器是其中一个DataNode,则直接存放在本地,否则随机在集群中选择一个DataNode2)第二个副本存放在不同于第一个副本所在的机架3)第三个副本存放于第二个副本所在的机架,但是属于不同的节点 三副本策略的使用需要开启机架感知功能,才能正常使用副本放置策略:<name>net.topology.script.file.name</name>
Hadoop学习笔记[3]-HDFS权限验证与客户端开发
unlock的博客
02-05 1634
Hadoop学习笔记[3]-HDFS权限验证与客户端开发   hdfs自身没有用户体系,需要依靠第三方提供。例如LDAP,kerberos,linux系统用户等,但是HDFS和linux一样有超级管理员的概念,linux的超级管理员是root,HDFS的超级管理员是启动NN的用户,比如用hdp01用户启动hdfs,则hdfs的超级用户就是hdp01   虽然HDFS没有用户的概念,但是有自身的权限体系,权限命令和linux差不多,可以赋权给用户或者用户组对应的权限 1、权限相关命令实战 1-1 熟悉几个命令
HDFS安全认证参数详解
最新发布
行路中
04-18 820
请先阅读HDFSRPC协议详解HDFSRPC安全认证Kerberos篇HDFSRPC安全认证Token篇HDFSRPC安全认证Token篇2,对整体的框架有一定的了解。
HDFS用户的simple认证配置
WannaRunning的博客
03-17 1376
目录 配置authorization开启权限认证 配置允许操作的用户 HDFS有两种认证方式,SIMPLE方式较简单,只认证用户名称没有密码。 配置authorization开启权限认证 authorization配置在core-site.xml文件中的 vi hadoop/etc/hadoop/core-site.xml <property> <name>hadoop.security.authorization</name> <valu..
深入解析Hadoop源代码:HDFS与MapReduce
4. 安全机制:分析安全相关的类,理解用户认证、授权流程以及Kerberos等安全技术的使用。 5. 序列化和网络通信:Hadoop使用序列化进行数据交换,理解`Writable`接口和网络通信协议如RPC(远程过程调用)。 通过以上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值