Delegation Token

最新推荐文章于 2024-03-08 09:24:59 发布
最新推荐文章于 2024-03-08 09:24:59 发布
阅读量649 收藏 2
点赞数 1
分类专栏: Hadoop Token 文章标签: hadoop 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PyDongJava/article/details/117089630
版权

Delegation Token

Hadoop最初的实现中并没有认证机制,这意味着存储在Hadoop中的数据很容易泄露。在2010年,安全特性被加入Hadoop(HADOOP-4487),主要实现下面两个目标:

  1. 拒绝未授权的操作访问HDFS中的数据。
  2. 在实现1的基础上,避免太大的性能损耗。
    为了实现第一个目标,我们需要保证:
  3. 任何一个客户端要访问集群必须要经过认证,以确保它就是自己声称的身份。
  4. 集群中任何服务器,需要被认证为集群中的一部分。其它的机制,如:Delegation Token, Block Access Token, Trust等被加入当做Kerberos的补充。特别是Delegation Token机制被引入。下图简要描述了Kerberos and Delegation Tokens在HDFS中应用
    在这里插入图片描述
    在上面的样例中,会涉及到下面几条认证流程
  5. 用户(joe)利用Kerberos来访问NameNode。
  6. 用户(joe)提交的分布式任务用joe的Delegation Tokens来访问NameNode。这是本文接下来的重点。
  7. HDFS中的DataNode通过Kerberos和NameNode进行交互。
  8. 用户及其提交的任务通过Block Access Tokens来访问DataNodes。

为什么要用delegation token

理论上,虽然可以只使用Kerberos实现认证机制,但这会有一定问题,尤其是应用在像Hadoop这样的分布式系统中。想像一下,对于每个MapReduce任务,如果所有的任务都需要使用TGT (Ticket Granting Ticket)通过Kerberos来进行认证,KDC(Kerberos Key Distribution Center)将很快成为系统瓶颈。下图中的红线说明该问题:一个任务中可能涉及到成千个节点之间的通信,从而导致KDC网络拥堵。事实上,如果集群规模较大,这无意间就对KDC执行了一次DDos(distributed denial of service attack)攻击。
在这里插入图片描述
因此,Delegation Tokens作为Kerberos的一个补充,实现了一种轻量级的认证机制。Kerberos是三方认证协议,而Delegation Tokens只涉及到两方。
Delegation Tokens的认证过程如下:

  1. client通过Kerberos与Server完成认证,并从server获取相应的Delegation Tokens;
  2. client与server之间后续的认证都是通过Delegation Tokens,而不进过Kerberos。
    client可以把Delegation Tokens传递给其它的服务(如:YARN),如此一来,这些服务(如:MapReduce任务)以client身份进行认证。换句话说,client可以将身份凭证"委托"给这些服务。Delegation Tokens有一个过期时间的概念,需要周期性的更新以保证其有效性。但是,它也不能无限制的更新,这由最大生命周期控制。此外,在Delegation Token过期前也被取消。
    Delegation Tokens可以避免分发Kerberos TGT 或 keytab,而这些信息一旦泄露,将获得所有服务的访问权限。另一方面,每个Delegation Token与其关联服务严格的绑定在一起,且最终会过期。所以,即使Delegation Token泄露,也不会造成太大损失。此外,Delegation Token使身份凭证的更新更加轻量化。这是因为Token更新过程只涉及到"更新者"和相关服务。token本身并不会改变,所以已经使用token的各个组件并不需要更新。
    考虑到高可用性,Delegation Tokens会被server进行持久化。HDFS NameNode将Delegation Tokens持久化到元数据中(又称为:fsimage and edit logs),KMS会将其以ZNodes形式持久化到ZooKeeper中。即使服务重启或故障切换,Delegation Tokens也会一直可用。
    server和client在处理Delegation Tokens时会有不同的职责

server端的Delegation Tokens
server端主要负责:

  1. 发布Delegation Tokens,并保存用以验证。
  2. 响应更新Delegation Tokens请求。
  3. 当client端执行删除操作或token过期时,移除Token。
  4. 通过验证client提供的Tokens和server端存储的token是否一致,来对client进行认证。
    只有Delegation Token的renewer可以在token过期前进行更新操作。每次更新过后,token的过期时间会延长一个更新周期(renew-interval),直到token达到最大生命周期(默认7天)。
    client端的Delegation tokens
    client主要负责:
  5. 从server端请求一个新的Delegation Tokens,请求同时可以指定token的更新者(renewer)。
  6. 更新Delegation Tokens(如果client将自己指定为renewer),亦或请求别的组件更新token(指定的renewer)
  7. 向server发送取消Delegation Tokens的请求。
  8. 提供Delegation Tokens供server进行认证。

Delegation Token 生命周期

下面来探究下其在实际场景中如何使用。下图展示的是一个运行一个典型应用的认证流程,先通过YARN提交作业,然后将任务分发到各个worker节点执行。
在这里插入图片描述
简单起见,此处将忽略Kerberos认证和Task分发流程。图中通常有5个步骤:

  1. client希望在集群中运行一个job,它分别从NameNode和KMS获取HDFS Delegation Token和KMS Delegation Token。
  2. client将作业提交到YARN资源管理器(RM),同时提交的还有step1中获取的Delegation Token以及ApplicationSubmissionContext。
  3. YARN RM通过更新操作来核实接收的Token,随后,YARN启动job,并将其和Delegation Tokens一同分发到各个worker节点上。
  4. 每个工作节点中的Task利用这些Token来进行认证,比如:需要访问HDFS上数据时,使用HDFS Delegation Token进行认证。需要解密HDFS加密区的文件时,使用KMS Delegation Token。
  5. job结束后,RM则取消该job的Delegation Tokens。

NameNode中Delegation Token的实现

在这里插入图片描述

东飞儿
关注
专栏目录
聊聊Hadoop安全认证体系:Delegation Token和Block Access Token
走在前往架构师的路上
11-29 3453
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
hadoop中的token认证
hncscwc的博客
05-12 1433
周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。【Hadoop为什么需要Tokenhadoop最初的实现中并没有认证机制,这意味着存储在hadoop中的数据很容易泄露。后来,基于kerberos认证的安全特性被加入到hadoop中,但是基于kerberos的认证在使用过程中,会存在以下问题:过程比较复杂,认证过程中还需要涉及到...
delegation模式
mildwind的专栏
12-15 3188
2004-10-28撰写读Globus Toolkit编程文档时,里面在实现operation provider时提到了delegation模式。GOF的设计模式里好像没有这个模式,还好网上找到了相关的文档。翻译如下:委托模式:(应该翻译成委托吧,如果翻译成代理容易和proxy模式混淆)委托模式是一种技术,一个对象在外界来看好像实现了一些行为,但实际上是委托给相关的其他类来实现行为的.在不可以使用
一文讲透hdfs的delegation token
hncscwc的博客
07-25 1924
【背景】前一段时间总结了hadoop中的token认证、yarn任务运行中的token,其中也都提到了delegation token。而最近也遇到了一个问题,问题现象是:flink任务运行超过七天后,由于宿主机异常导致任务失败,继而触发任务的重试,但接连重试几次都是失败的,并且任务的日志也没有聚合,导致无法分析问题失败的原因。最后发现是和delegation token...
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
在本案例中,Spark Streaming应用程序遇到的问题是HDFS_DELEGATION_TOKEN(HDFS委托令牌)过期,导致程序无法继续运行。 问题背景: Spark Streaming应用程序在运行7天后自动退出,日志中显示一个与用户相关的HDFS_...
阿里云 oss 存储临时Token访问
weixin_52183104的博客
03-30 1842
登录后在左侧控制台创建用户,然后保存当前用户 AcessKey(开启授权)使用STS临时访问凭证访问OSS - 对象存储 OSS - 阿里云https://help.aliyun.com/document_detail/100624.htm?spm=a2c4g.11186623.2.6.5e256d13h9rLGc#concept-xzh-nzk-2gb 将在阿里云新建的用户的Ak存储 Node (服务器)方式获取STS临时TokenNode.js示例 - 访问控制 - 阿里云https://help.
Hive配置文件中配置项的含义详解
Baron_ND的博客
02-10 1007
这里面列出了hive几乎所有的配置项,下面问题只是说出了几种配置项目的作用。更多内容,可以查看内容 问题导读: 1.hive输出格式的配置项是哪个? 2.hive被各种语言调用如何配置? 3.hive提交作业是在hive中还是hadoop中? 4.一个查询的最后一个map/reduce任务输出是否被压缩的标志,通过哪个配置项? 5.当用户自定义了UDF或者SerDe,这些插件的jar都要放到这个目录下,通过那个配置项? 6.每个reducer的大小,默认是1G,输入文件如果是10G,那么就会起10个redu
hdfs delegation token 过期问题
minghai
05-27 383
https://www.jianshu.com/p/2904334ae404 https://www.jianshu.com/p/617fa722e057
delegation java_Java DelegationTokenToRenew类代码示例
weixin_42469191的博客
02-23 136
import org.apache.hadoop.yarn.server.resourcemanager.security.DelegationTokenRenewer.DelegationTokenToRenew; //导入依赖的package包/类@Test (timeout = 30000)public void testCancelWithMultipleAppSubmissions() ...
Spark与hdfs delegation token过期的排查思路总结
三劫散仙
11-09 2325
hadoop delegation token的问题相对比较混乱和复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
Error in storing RMDelegationToken with sequence number:
tttjjjlll的专栏
02-20 108
今天用oozie调度hadoop任务时,发现在每次在执行时,RM进程就被kill掉了,查看yarn-hadoop-resourcemanager-master1.log日志,报了下面的错: [code="java"] Error in storing RMDelegationToken with sequence number: 1962 [/code] 出现上面的错的原因是由于zo...
Hadoop Delegation Token
最新发布
zincooo的博客
03-08 991
hadoop 委托令牌
hdfs delegation token 过期问题分析
qq_41587243的博客
12-31 4329
什么是delegation token delegation token其实就是hadoop里一种轻量级认证方法,作为kerberos认证的一种补充。理论上只使用kerberos来认证是足够了,为什么hadoop还要自己开发一套使用delegation token的认证方式呢?这是因为如果在一个很大的分布式系统当中,如果每个节点访问某个服务的时候都使用kerberos来作为认证方式,那么势必对KDC造成很大的压力,KDC就会成为一个系统的瓶颈。 与kerberos的区别 kerberos认证需三方参与,cl
kafka-broker默认配置详情(kafka2.0版本,数据来源于kafka官网)
Felix_CB的博客
12-24 1701
NAME DESCRIPTION TYPE DEFAULT VALID VALUES IMPORTANCE DYNAMIC UPDATE MODE zookeeper.connect Zookeeper host string string high read-only advertised.host.name DEPRECATED: only used when adve...
记一次HDFS Delegation Token失效问题
迹_Jason
01-17 5535
由于我们团队是最近上的 Kerberos ,免不了会出现一些问题,现阶段还处于踩坑阶段。希望通过我们的填坑的经历,帮助到同样身处坑内的伙伴。我们使用的 Hortonworks-HDP 环境。 HDFS Delegation Token 问题被发现于一个 Long Running 的 Spark 应用。由于发布周期原因,部分应用超过了 7 天的有效期时间,突然在同一时间,爆发出来。当时觉得很诡异,在...
Hadoop Delegation Tokens详解
victorzzzz的专栏
07-30 2349
转载自:《Hadoop Delegation Tokens详解》 https://www.jianshu.com/p/617fa722e057 本文是cloudera公司的一篇技术博客,原文地址:Hadoop Delegation Tokens Explained 译文 Hadoop Security在2009年被设计并实现,此后趋于稳定。但是,由于相关文档不足,当出现问题时很难理解并进行d...
ERROR org.apache.hadoop.security.token.delegation.AbstractDelegationTokenSecretManager: ExpiredTokenRemover received java.lang.InterruptedException: sleep interrupted
05-11
这个错误通常是由于一个正在运行的线程被中断而引起的。在这种情况下,可能发生了以下情况之一: 1. 线程被外部中断,例如通过调用Interrupt()方法。 2. 线程被强制终止,例如通过调用Abort()方法。 3. 线程等待的某个资源不可用,例如一个锁或一个I/O操作阻塞了它。 为了解决这个问题,你可以尝试以下方法: 1. 检查代码,确保没有在任何可能引发InterruptedException的地方调用了Thread.sleep()或wait()方法。 2. 检查线程是否在等待某个资源,如果是的话,尝试找出哪个资源不可用,并修复它。 3. 如果线程是由于外部中断而被中断,你可以在代码中捕获InterruptedException并重新抛出它,或者考虑处理它以避免线程异常退出。 4. 如果线程被强制终止,你可以检查代码并确保没有使用Abort()方法或其他类似方法强制终止线程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值