0731-6.3.0-关于HDFS ACL的32个条目限制说明

最新推荐文章于 2022-04-18 17:06:38 发布
最新推荐文章于 2022-04-18 17:06:38 发布
阅读量783 收藏 1
点赞数
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/103210081
版权

1 异常说明

  • 测试环境:

1.Redhat7.4

2.采用root用户操作

3.CM和CDH为6.3.0

4.集群启用了Sentry未开启Kerberos

5.HDFS服务开启了ACL

1.随便为一个HDFS目录设置ACL条目,当超过32个时会报一下错误。

[root@ip-172-31-13-38 ~]# sh a.sh
setfacl: Invalid ACL: ACL has 33 access entries, which exceeds maximum of 32.
setfacl: Invalid ACL: ACL has 33 access entries, which exceeds maximum of 32.
setfacl: Invalid ACL: ACL has 33 access entries, which exceeds maximum of 32.
setfacl: Invalid ACL: ACL has 33 access entries, which exceeds maximum of 32.
setfacl: Invalid ACL: ACL has 33 access entries, which exceeds maximum of 32.
[root@ip-172-31-13-38 ~]# hadoop fs -getfacl /acl_test
# file: /acl_test
# owner: root
# group: supergroup
user::rwx
user:fayson:r--
user:fayson1:r--
user:fayson10:r--
user:fayson11:r--
user:fayson12:r--
user:fayson13:r--
user:fayson14:r--
user:fayson15:r--
user:fayson16:r--
user:fayson17:r--
user:fayson18:r--
user:fayson19:r--
user:fayson2:r--
user:fayson20:r--
user:fayson21:r--
user:fayson22:r--
user:fayson23:r--
user:fayson24:r--
user:fayson25:r--
user:fayson26:r--
user:fayson27:r--
user:fayson3:r--
user:fayson4:r--
user:fayson5:r--
user:fayson6:r--
user:fayson7:r--
user:fayson8:r--
user:fayson9:r--
group::r-x
mask::r-x
other::r-x

2 解决办法

2.1 方法1

1.在设置ACL的时候带上default前缀。

[root@ip-172-31-13-38 ~]# hadoop fs -setfacl -m default:user:fayson2:r-- /acl_test

可以看到命令没有报错,而且执行正常。

2.创建一个子目录,发现子目录会继承父目录的default的ACL

[root@ip-172-31-13-38 ~]# hadoop fs -mkdir /acl_test/acl_test1
[root@ip-172-31-13-38 ~]# hadoop fs -getfacl /acl_test/acl_test1

3.此时再对父目录增加一个default的ACL,看看子目录的ACL情况。

[root@ip-172-31-13-38 ~]# hadoop fs -setfacl -m default:user:fayson28:rwx /acl_test
[root@ip-172-31-13-38 ~]# hadoop fs -getfacl /acl_test
[root@ip-172-31-13-38 ~]# hadoop fs -getfacl /acl_test/acl_test1

可以看到子目录没有继承父目录新的default的ACL条目,说明只是在第一次创建的时候会继承。

2.2 方法2

1.使用Sentry为一张表赋予超过32个group的权限。

0: jdbc:hive2://localhost:10000> create role acl_test;
0: jdbc:hive2://localhost:10000> grant all on default.test to role acl_test;
0: jdbc:hive2://localhost:10000> grant role acl_test to group fayson01;
0: jdbc:hive2://localhost:10000> grant role acl_test to group fayson02;
...
0: jdbc:hive2://localhost:10000> grant role acl_test to group fayson32;
0: jdbc:hive2://localhost:10000> grant role acl_test to group fayson33;

2.检查HDFS对应目录的ACL条目。

发现并没有报错,在超过32个ACL条目的情况下,所有Sentry中对group赋权都同步到了底层的HDFS。

3 总结

1.HDFS ACL条目32个限制的讨论你可以参考Apache Hadoop的jira:HDFS-7447:

https://issues.apache.org/jira/browse/HDFS-7447

该jira里主要讨论了为什么会有这个限制:这样做主要有2个原因:简化管理和限制资源消耗。一个HDFS的目录如果有大量ACL条目往往看上去不是太好理解,这种需求往往可以通过更好的划分用户和用户组的关系来更好的去实现。同时具有大量ACL条目后会消耗集群更多的存储和内存,对于NameNode来说也需要消耗更多的时间来做权限检查,从而影响整个集群的性能。为什么HDFS的ACL条目是32是与Linux的ext文件系统的最大ACL条目一致的。关于HDFS的这个设计你可以参考:

https://issues.apache.org/jira/secure/attachment/12627729/HDFS-ACLs-Design-3.pdf

2.对于这个问题,HDFS社区有一个jira进行一个简单的提升,即一个目录的default和特定的(specific) ACL是两种不同的类型,每个都可以最大设置32,所以整个ACL条目可以超过32到达64,具体可以参考:

https://issues.apache.org/jira/browse/HDFS-7582

这个jira在CDH5.12.2, CDH5.13.1和CDH5.14.0及更高版本已经修复。注:default ACL一般是子目录继承的父目录的ACL,主要是在创建子目录的时候会直接继承父目录的default的ACL。

3.在CDH之上,对于Hive/Impala表,在使用Sentry后,并同时开启HDFS ACL与HDFS ACL同步后,对于Hive表的目录是可以超过32个条目限制的。

在实际使用中我们给出如下建议:

1.如果是Hive表,使用Sentry后超过32个ACL条目没问题,你可以进行相关设置。

2.如果是HDFS目录,你最好调整用户和组的关系,或者整理好用户和组的对应关系,在设置ACL条目的时候尽量以group来设置,然后控制到32个以内。

3.对于HDFS目录,对于替代方案,你如果非要超过32个ACL,你可以在这些目录上建立Hive表(虽然这个表你可能不使用),然后通过Sentry来赋权后来实现超过32个的目的。

我们建议你使用1+2的组合方式,其实更多的是整理好user和group的对应关系,来更好的管理HDFS ACL,毕竟ACL多了确实管理困难以及影响集群性能。

Hadoop_SC
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
converter-en-6.3.0-20575345.exe
05-10
p2v迁移工具,VMware-converter-en-6.3.0
标准ACL,扩展ACL,基本ACL,高级ACL
weixin_69884785的博客
10-28 1247
标准ACL,扩展ACL,基本ACL,高级ACL
华为 ACL访问控制列表 (高级ACL为例)
热门推荐
艺博东的博客
09-12 1万+
文章目录一、认识ACL二、拓扑三、基础配置四、需求 一、认识ACL 1、什么是ACLAccess Control List访问控制列表–ACL ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用课达到不同的应用效果。 路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现对应的效果。 2、ACL的作用: 匹配特定数据,实现对数据的控制(deny–拒绝,permit–放行) 实现网络访问控制,Qos留策略,路由信息
ACL访问控制(华为)
Jian Sun_的博客
07-30 7968
一、ACL 访问控制列表ACLAccess Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址...
HDFS多用户管理ACL机制other权限访问控制的理解
医疗影像检索
04-29 5592
非Master服务器用户也能通过客户端远程访问Hadoop 现象:在Hadoop集群多用户管理实践中发现,客户端用非Master服务器配置的用户连接Master,也通用具备对指定目录的操作权限。比如Master服务器提供的用户的是A,理论上客户端应用在A用户下部署安装hadoop后远程连接,但现在客户端用B用户安装Hadoop客户端并连接Master服务器,且可在指定目录下rwx,只是在涉及da
ACL的配置方法三
weixin_34130269的博客
08-01 154
体验3-目录的默认ACL 如果我们希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认(Default)ACL。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。用setfacl的-d选项就可以做到这一点: [root@FC3-vmmnt]#setfacl--s...
gcc-core-6.3.0-1-mingw32-bin.tar.xz
12-18
gcc-core-6.3.0-1-mingw32-bin.tar.xz c语言编译库 gnu gcc
elasticsearch-analysis-ik-6.3.0 elasticsearch- 6.3.0 分词jar包
09-24
elasticsearch-analysis-ik-6.3.0 分词插件,对应elasticsearch 6.3.0 的版本!
postman-win64-6.3.0-setup.exe
07-05
postman-win64-6.3.0-setup.exe
logstash-6.3.0-windows-x86_64.rar
08-20
logstash-6.3.0-windows-x86_64.rar
elasticsearch-analysis-ik-6.3.0.rar
08-20
elasticsearch-analysis-ik-6.3.0.rar
kibana-6.3.0-linux-x86_64
09-20
elasticsearch-6.3.0 对应的开源的分析与可视化平台linux版:kibana-6.3.0-linux-x86_64
MinGW-6.3.0-1
05-09
MinGW部署压缩包,需要在解压后手动设置环境变量。详细教程参考我的文章https://blog.csdn.net/qq_36731677/article/details/54608772
elasticsearch-6.3.0-API文档-中文版.zip
06-25
赠送原API文档:elasticsearch-6.3.0-javadoc.jar; 赠送源代码:elasticsearch-6.3.0-sources.jar; 赠送Maven依赖信息文件:elasticsearch-6.3.0.pom; 包含翻译后的API文档:elasticsearch-6.3.0-javadoc-API文档...
SetupSTM32CubeMX-6.3.0-Win.rar
09-06
STM32CubeMX V6.3
ACL访问限制实验
m0_49986910的博客
04-18 1492
1.实验要求:用ACL实现下图的要求 2.配置图中设备: <R1>dis curr [V200R003C00] # sysname R1 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load flash:/portalpage.zip # drop...
最简单的网络限制方案,ACL规则。
willhuo的专栏
11-09 3706
 假设您的内网网段是192.168.0.0/16 要限制的网段是192.168.10.0/24和192.168.30.0/24 sys [H3C]acl advanced 3001 [H3C-acl-ipv4-adv-3001]rule  0  permit  ip  source  192.168.0.0  0.0.255.255  destination  192.168.0.0
form file类型限制_0731-6.3.0-关于HDFS ACL32条目限制说明
weixin_31232021的博客
12-27 134
​异常说明测试环境:1.Redhat7.42.采用root用户操作3.CM和CDH为6.3.04.集群启用了Sentry未开启Kerberos5.HDFS服务开启了ACL1.随便为一个HDFS目录设置ACL条目,当超过32个时会报一下错误。[root@ip-172-31-13-38 ~]# sh a.shsetfacl: Invalid ACL: ACL has 33 access entries...
ACL(标准/扩展访问控制列表)
ITwang1的博客
08-28 3610
一 定义及作用 定义:它是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 作用:读取三层四层信息,根据预先定义好的规则对流量进行过滤,筛选。 三层信息包括(源目IP) 四层信息包括(tcp/udp协议 源目端口号) 二 ACL的处理原则 调用ACL的出入接口区别 出:已经被本地路由器处理过了,流量将离开本地路由器; .
export LDFLAGS=-L/path/to/F:/ayu/gmp-6.3.0/.libs
最新发布
03-10
export LDFLAGS=-L/path/to/F:/ayu/gmp-6.3.0/.libs 是一个用于设置环境变量的命令。其中,LDFLAGS是一个用于指定链接器选项的环境变量,-L选项用于指定链接器搜索库文件的路径。 在这个命令中,-L/path/to/F:/ayu/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值