hadoop SLA

最新推荐文章于 2022-09-15 14:50:57 发布
最新推荐文章于 2022-09-15 14:50:57 发布
阅读量193 收藏
点赞数
文章标签: 大数据
原文链接:https://my.oschina.net/u/3987818/blog/3093732
版权

    SLA:Service Level Authorization(服务层授权)

  1. sla 通过配置访问策略来控制哪些用户、哪些用户组、哪些机器可以访问特定的服务。sla

  2. 如果启用了sla (hadoop.security.authorization=true),则每次服务端收到rpc请求后,都会对请求做权限检测。RPCServer在收到客户端的rpc请求后会对该请求做sla检测。

  3. 核心代码:

    流程:
processRpcOutOfBandRequest(RpcRequestHeaderProto header, DataInputStream dis)
-->org.apache.hadoop.ipc.Server.Connection.processConnectionContext(DataInputStream dis)
-->org.apache.hadoop.ipc.Server.Connection.authorizeConnection()
-->org.apache.hadoop.ipc.Server.authorize(UserGroupInformation user, String protocolName, InetAddress addr)
-->org.apache.hadoop.security.authorize.ServiceAuthorizationManager.authorize(UserGroupInformation user, Class<?> protocol, Configuration conf, InetAddress addr)
        /**
     * Authorize proxy users to access this server
     * @throws WrappedRpcServerException - user is not allowed to proxy
     */
    private void authorizeConnection() throws WrappedRpcServerException {
      try {
        // If auth method is TOKEN, the token was obtained by the
        // real user for the effective user, therefore not required to
        // authorize real user. doAs is allowed only for simple or kerberos
        // authentication
        if (user != null && user.getRealUser() != null
            && (authMethod != AuthMethod.TOKEN)) {
          ProxyUsers.authorize(user, this.getHostAddress());
        }
        //用户user从主机(getHostInetAddress())发起了协议protocolName的访问,此处对该访问进行授权
        authorize(user, protocolName, getHostInetAddress());
        if (LOG.isDebugEnabled()) {
          LOG.debug("Successfully authorized " + connectionContext);
        }
        rpcMetrics.incrAuthorizationSuccesses();
      } catch (AuthorizationException ae) {
        LOG.info("Connection from " + this
            + " for protocol " + connectionContext.getProtocol()
            + " is unauthorized for user " + user);
        rpcMetrics.incrAuthorizationFailures();
        throw new WrappedRpcServerException(
            RpcErrorCodeProto.FATAL_UNAUTHORIZED, ae);
      }
    }


  /**
   * Authorize the incoming client connection.
   * 
   * @param user client user
   * @param protocolName - the protocol
   * @param addr InetAddress of incoming connection
   * @throws AuthorizationException when the client isn't authorized to talk the protocol
   */
  private void authorize(UserGroupInformation user, String protocolName,
      InetAddress addr) throws AuthorizationException {
    if (authorize) {
      if (protocolName == null) {
        throw new AuthorizationException("Null protocol not authorized");
      }
      Class<?> protocol = null;
      try {
        protocol = getProtocolClass(protocolName, getConf());
      } catch (ClassNotFoundException cfne) {
        throw new AuthorizationException("Unknown protocol: " + 
                                         protocolName);
      }
      serviceAuthorizationManager.authorize(user, protocol, getConf(), addr);
    }
  }



/**
   * Authorize the user to access the protocol being used.
   * 
   * @param user user accessing the service 
   * @param protocol service being accessed
   * @param conf configuration to use
   * @param addr InetAddress of the client
   * @throws AuthorizationException on authorization failure
   */
  public void authorize(UserGroupInformation user, 
                               Class<?> protocol,
                               Configuration conf,
                               InetAddress addr
                               ) throws AuthorizationException {
    AccessControlList[] acls = protocolToAcls.get(protocol);
    MachineList[] hosts = protocolToMachineLists.get(protocol);
    if (acls == null || hosts == null) {
      throw new AuthorizationException("Protocol " + protocol + 
                                       " is not known.");
    }
    
    // get client principal key to verify (if available)
    KerberosInfo krbInfo = SecurityUtil.getKerberosInfo(protocol, conf);
    String clientPrincipal = null; 
    if (krbInfo != null) {
      String clientKey = krbInfo.clientPrincipal();
      if (clientKey != null && !clientKey.isEmpty()) {
        try {
          clientPrincipal = SecurityUtil.getServerPrincipal(
              conf.get(clientKey), addr);
        } catch (IOException e) {
          throw (AuthorizationException) new AuthorizationException(
              "Can't figure out Kerberos principal name for connection from "
                  + addr + " for user=" + user + " protocol=" + protocol)
              .initCause(e);
        }
      }
    }
    if((clientPrincipal != null && !clientPrincipal.equals(user.getUserName())) || 
       acls.length != 2  || !acls[0].isUserAllowed(user) || acls[1].isUserAllowed(user)) {
      AUDITLOG.warn(AUTHZ_FAILED_FOR + user + " for protocol=" + protocol
          + ", expected client Kerberos principal is " + clientPrincipal);
      throw new AuthorizationException("User " + user + 
          " is not authorized for protocol " + protocol + 
          ", expected client Kerberos principal is " + clientPrincipal);
    }
    if (addr != null) {
      String hostAddress = addr.getHostAddress();
      if (hosts.length != 2 || !hosts[0].includes(hostAddress) ||
          hosts[1].includes(hostAddress)) {
        AUDITLOG.warn(AUTHZ_FAILED_FOR + " for protocol=" + protocol
            + " from host = " +  hostAddress);
        throw new AuthorizationException("Host " + hostAddress +
            " is not authorized for protocol " + protocol) ;
      }
    }
    AUDITLOG.info(AUTHZ_SUCCESSFUL_FOR + user + " for protocol="+protocol);
  }

    ServiceAuthorizationManager维护了 协议与用户、主机的映射关系,包括白名单和黑名单,支持动态刷新。

 

 

 

转载于:https://my.oschina.net/u/3987818/blog/3093732

chouzhan9798
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hadoop基于SLA权限认证
专注技术交流、咨询
12-19 917
在core-site.xml中配置以下属性:  hadoop.security.authorization=true 配置hadoop-policy.xml  参数格式 用户名与用户组之间用空格分开  用户用户之间用“,”  Tom,cat super,no  属性说明 security.client.protocol.acl 控制访问HDFS的权限   secu
Hadoop3.2.1 【 YARN 】源码分析 : RPC通讯解析
张伯毅的专栏
12-07 1914
一.前言 远程过程调用(Remote Procedure Call, RPC) 是一个计算机通信协议。 该协议允许运行于一台计算机的程序调用另一台计算机的子程序, 同时将网络的通信细节隐藏起来,而程序员无需额外地为这个交互作用编程。 作为一个分布式系统, Hadoop实现了自己的RPC通信协议, 它是上层多个分布式子系统(MR、 YARN、 HDFS等) 的公用网络通信模块, 保证其轻量级、 高性能。 典型的RPC框架, 主要包括以下几个部分。 ( 1) 通信模块: 主要是请求-应答协议, 包括同步方式和
WCF安全体系结构 from MSDN
weixin_30549175的博客
12-10 68
安全体系结构 本节说明可用于修改或扩展 Windows Communication Foundation (WCF) 安全组件的功能的各个扩展点。若要了解这些扩展点,必须了解总体 WCF 安全体系结构。本主题从组件及其关系方面说明 WCF 安全体系结构以及本节后面说明的扩展点如何适应总体体系结构模型。 WCF 安全组件的范围 WCF 安全性跨越 WCF 体系结构中的多个组件。WC...
hadoop 3.1.4
10-03
Hadoop是Apache旗下的一个用java语言实现开源软件框架,是一个开发和运行处理大规模数据的软件平台。允许使用简单的编程模型在大量计算机集群上对大型数据集进行分布式处理。
docker配置hadoop
09-28
001
hadoop3.3.4 winutils
12-18
在windows11平台,基于hadoop3.3.4源码包自编译,按需自取,内含hadoop.dll等文件以及全部源码等
hadoop-2.10.2
04-18
hadoop-2.10.2,官网下载的hadoop2版本
hadoop2.7.7
07-20
hadoop2.7.7
kerberos认证相关概念和流程
dkjhl的博客
09-15 1694
你的hadoop有十台主机,/etc/hosts配置的host为hadoop[1-10].hadoop.com,name在定义你的Kerberos的Realm时就是HADOOP.COM,你创建的客户端的服务端的principal都是以@HADOOP.COM结尾。为什么说”默认基于jaas配置”呢。SASL作为高层次框架,定义的是一套接口,看一下接口定义,就能领会到其实GSSAPI是其中一种实现,换句话说,在进行基于kerberos认证的时候,既能够间接应用GSSAPI层接口,也能够应用sasl层的接口。
hadoop rpc协议客户端与服务端的交互流程
weixin_30895603的博客
03-19 148
  尽管这里是hadoop的rpc服务,但是hadoop还是做到了一次连接仅有一次认证。具体的流程待我慢慢道来。   客户端:这里我们假设ConnectionId对应的Connection并不存在。在调用getConnection方法时,这里构造了Connection,由于入参ConnectionId.doPing一般为true,因此,在Connection的构造方法时,会构造相应的p...
hadoop开启Service Level Authorization 服务级认证-SIMPLE认证-过程中遇到的坑
weixin_30305735的博客
08-15 987
背景描述:   最近在进行安全扫描的时候,说hadoop存在漏洞,Hadoop 未授权访问【原理扫描】,然后就参考官方文档及一些资料,在测试环境中进行了开启,中间就遇到了很多的坑,或者说自己没有想明白的问题,在此记录下吧,这个问题搞了2天。 环境描述:   hadoop版本:2.6.2 操作步骤: 1.想要开启服务级认证,需要在core-site.xml文件中开启参数hadoo...
hadoop 2.6 的权限管理
weixin_34376986的博客
04-01 411
2019独角兽企业重金招聘Python工程师标准>>> ...
kerberos问题汇总
weixin_33750452的博客
11-28 663
1. impala daemon启动失败 Could not read the root directory at hdfs://duan139:8020. Error was: User impala/duan140@HADOOP.COM (auth:KERBEROS) is not authorized for protocol interface org.apache.hadoo...
Hadoop3.2.1 【 HDFS 】源码分析 : RPC原理 [七] Server端实现&源码
张伯毅的专栏
04-21 2603
Table of Contents 一.Server端架构 二.Server端创建流程 三.Server组件 3.1.Listener 3.1.1. 构建 3.1.2.常量. 3.1.3.构造方法 3.1.3.run方法 3.1.4.doAccept(key) 3.2.Reader 3.2.1.创建 3.2.2.常量 3.2.3.构造方法 3.2.4 run方法 ...
Hadoop -- RPC通信
weixin_42642341的博客
10-21 745
Hadoop -- RPC通信 前言 本篇文章浅显的介绍了Hadoop RPC的基础以及三个大类RPC、Server、Client一些较为重要的方法的源码剖析,目的在于理解Hadoop RPC核心的原理以提升自身知识储备。本篇博文参考了大量董西成老师的《Hadoop技术内幕-深入解析YARN架构设计与实现原理》,感谢老师的书籍在我学习Hadoop Yarn过程中给予的莫大帮助。 基础库 1...
使用Alluxio提升HDFS集群的性能和SLA稳定性
Alluxio的博客
04-01 5201
我们使用Spark2.0来完成计算作业,并对比2种软件栈下作业的执行性能。第一种软件栈是将Spark作业直接运行在HDFS的数据上,另一种是将Spark作业运行在使用HDFS作为底层存储系统的Alluxio的数据上。
hadoop version
最新发布
05-24
Hadoop是一个由Apache开发的分布式系统基础架构。您可以使用以下命令检查Hadoop版本: ```shell hadoop version ``` 输出将显示Hadoop的版本号和相关信息。在终端中输入上述命令后,输出将类似于: ```shell ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值