Ozone Security:基于证书的Block Access Token认证

最新推荐文章于 2023-04-25 21:38:50 发布
最新推荐文章于 2023-04-25 21:38:50 发布
阅读量1.3k 收藏 3
点赞数 6
分类专栏: 安全 分布式系统 Ozone 文章标签: OZone block Access Token Ozone Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Androidlushangderen/article/details/89894137
版权
文章目录前言Block Access Token的作用Block Acess Token的生成证书的生成Block Access Token流程图前言在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上和HDFS的内部实现还是有...
摘要由CSDN通过智能技术生成

文章目录

前言

在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上和HDFS的内部实现还是有所区别的。本文笔者来简单聊聊这中间的过程,包括Block Access Token如何与这套安全机制紧密联合在一起的。

Block Access Token的作用

首先我们来了解下Block Access Token的作用,它是用来做什么的?
首先正如token本身的意思所说,它是一个“令牌”,一块用来允许访问数据的“令牌”。这个令牌理应由数据控制中心派发给数据访问者,然后数据访问者携带此令牌去访问目标数据。在目标数据所在的节点上,则会进行令牌的检查。如果检查失败,则数据访问将被拒绝。

Block Acess Token的生成

在Ozone的证书体系下,它的block access token生成附带有相关证书的私钥信息并且带上证书签名信息。因为DataNode节点和OzoneManager服务都是信赖同一份从SCM服务得来的证书,所以基于此信息构建出的token是安全可信的。

证书的生成

这里顺带提及下证书的生成过程。在Ozone中,我们是假定SCM为一个Certificate Authority,并且SCM在自启动完毕后,会做一些相关初始化操作,例如自签名操作。然后OM和DN在启动的时候都向SCM获取证书信息,并持久化证书信息在本地s

最低0.47元/天 解锁文章
Android路上的人
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HDFS block access token认证机制
走在前往架构师的路上
12-28 1915
文章目录前言Block access tokenHDFS block access token的原理 前言 在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实
聊聊Hadoop安全认证体系:Delegation TokenBlock Access Token
走在前往架构师的路上
11-29 3435
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
Block Token
PyDongJava的博客
05-20 300
Block Token Block Token解决的问题 Hadoop 安全需要解决的两个问题: 认证:解决用户身份合法性验证问题 授权:解决认证用户的操作范围问题 认证问题通过Kerberos得到很好的解决,而且Hadoop内部设计了一套Token机制完美实现安全认证问题,同时在性能上得到保证 虽然解决了认证问题,但是存在安全隐患,尤其在DataNode端,比如客户端只要获取数据块信息之后就可以直接访问DataNode,对Block进行随意读写甚至是删除操作。换句话说,如果通过特殊方法获取集群的所有数据
Hadoop安全机制探究
初心江湖路的博客
12-27 607
一、可能的安全问题 1、如果Hadoop服务不对用户或者服务进行认证,那么可能发生什么安全问题? HDFS文件权限检查被规避 攻击者可以伪装服务,对集群进行攻击 2、因为只需要BlockId即可读取节点的数据,而DataNode不强制对任何访问请求做访问控制。那么,任何人都可以随意的访问和读写HDFS数据,这样就存在安全隐患。 二、Apache Hadoop安全团队使用的安全机制 基于Kerbe...
基于hadoop构建对象存储系统_HDFS对象存储--Ozone架构设计
weixin_28850145的博客
12-28 395
前言现在做云存储的公司很多,举2个比较典型的AWS的S3和阿里云.他们都提供了一个叫做对象存储的服务,就是目标数据是从Object中进行读写的,然后可以通过key来获取对应的Object,就是所谓的key-object的存储.这样的好处就在于用户使用起来很方便的,不需要走冗杂的操作流程.但是本文所要阐述的则是HDFS中的对象存储,对于这样的需求,Hadoop作为一套完善的分布式系统,当然也要与时俱...
ozone-docker-runner:容器映像提供运行时环境,用于开发和测试Apache Ozone
03-28
Apache Ozone跑步者基本图像 这是在Docker容器中运行Apache Hadoop Ozone的基础映像。 这仅用于测试/开发,不适用于生产。 该容器不包含任何特定于Ozone的jar文件或发布工件,而只是一个空环境,其中包括在容器内...
Mindustry-Ozone:如何使用Java Dark Magic修补Mindustry
02-25
臭氧项目下载工业部臭氧注意:Ozone Desktop是具有某些扩展名的独立加载器(Ozone Core + Desktop Extension + Loader) 注意:对于Mindustry 124+,请改用mods浏览器内置的Mindustry 注意:Dexed表示对android的...
ozone:一个用于实时数据分析和可视化JavaScript数据库
05-16
因为Ozone在Web浏览器中运行,所以数据可视化可以避免在添加或删除过滤器时查询服务器。 臭氧由两部分组成: 一种用于JavaScript的OLAP样式(计数/过滤/分区)查询的API,其样式类似于jQuery和D3,并且旨在与D3或...
Ozone:一周,一个问题,一种算法
06-14
"Ozone:一周,一个问题,一种算法"这个标题揭示了一个关于Ozone项目的特别活动或学习计划。Ozone,通常缩写为O3,可能是一个专注于软件开发、数据科学或者算法研究的开源项目。这里的“一周,一个问题,一种算法”...
center-ui:OZONE 平台中心 UI
07-01
中心用户界面 基于 、 和构建的中心 UI。先决条件安装 Node.js 和 npm。 如果需要,请前往。 接下来,安装 Bower 和 Gulp,您可能需要将它们作为 sudo 运行。 npm install -g gulp bower设置首先克隆 repo。 安装...
[Bigdata]Ranger权限管理(用户认证kerberos)
红尘道,红尘练心
03-25 2492
UI界面:http://192.168.101.179:6080 (admin/bigdata123)组件进程名启动命令UnixAuthenticationService(root用户可见)ranger-usersync start/stop/restart(root用户下启动)Hive Plugin启动命令:至此完成了一下功能通过ranger来对hiveserver2的权限进行验证usersync组件定时同步LDAP的hive用户到Ranger中。
下一代大数据分布式存储技术Apache Ozone初步研究
最新发布
itxiaoshen博客
04-25 1939
如果还在为HDFS上存储海量的小文件而烦恼,不烦多留意号称下一代分布式存储技术Apache Ozone,其诞生初衷就是解决HDFS面临棘手问题,本篇从了解其特性和总体架构,基于开发测试需求通过docker和docker-compose方式启动Ozone本地集群,最后通过命令行接口和兼容hadoop命令Ofs操作卷、桶、键、存储读写文件数据。
Hadoop社区比 Ozone 更重要的事情
weixin_45906054的博客
05-06 791
作者:郑锴,花名铁杰,阿里巴巴高级技术专家,Apache Hadoop PMC,Apache Kerby 创立者。深耕分布式系统开发和开源大数据多年,目前专注于在阿里云上提供更好用更有弹...
Ozone系列(一)整体架构
Badme
10-26 4323
注:本文主要翻译自Ozone的官方文档。有兴趣的小伙伴可以自己看documentation。链接如下: https://hadoop.apache.org/ozone/docs/1.0.0/concept/overview.html 介绍 Ozone 的整体架构,主要包括元数据层、数据层、协议、数据复制层和 Recon等概念,这些概念对于深入理解 ozone 的原理有极大帮助。 Ozone 是一个...
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
Apache Ozone0.4.0调研
qq_31910941的博客
08-13 2771
为什么有Ozone 对象存储比标准文件系统更容易构建和使用。 缩放对象库也更容易。 大多数大数据应用程序和框架(如Apache Spark,YARN和Hive)都可以在云端和本地运行,这使得在本地存储对象存储非常具有吸引力。众所周知,HDFS是大数据存储系统,并在业界得到了广泛的使用。但是无论大集群还是小集群其扩展性都受NN的限制,虽然HDFS可以通过Federation进行扩展,但是依然深受小...
access token
weixin_34090643的博客
02-01 159
说明:文档内容不包含相关的技术解决方案,主要是说明从产品角度如何理解access token,在产品设计中的理解。理解比较浅 概念 在计算机系统中,访问令牌包含登录会话的安全凭证,并标识用户,用户的组,用户的权限以及某些情况下的特定应用程序。(来源于维基百科) 通俗的讲,在系统中access token 一般作为设备访问用户信息的安全凭证,用于确认用户身份。这两主要强调2方面: access t...
Hadoop Delegation Tokens详解
victorzzzz的专栏
07-30 2297
转载自:《Hadoop Delegation Tokens详解》 https://www.jianshu.com/p/617fa722e057 本文是cloudera公司的一篇技术博客,原文地址:Hadoop Delegation Tokens Explained 译文 Hadoop Security在2009年被设计并实现,此后趋于稳定。但是,由于相关文档不足,当出现问题时很难理解并进行d...
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 945
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
怎么用ozone下载程序
03-28
Ozone是一款开源的JTAG调试器和IDE,可用于嵌入式系统的开发和调试。以下是使用Ozone下载程序的步骤: 1. 打开Ozone IDE,并点击“New Project”创建新项目。 2. 选择你的芯片类型和调试器类型,点击“Next”。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值