连接池连接kerberos权限认证的impala+kudu数据库

最新推荐文章于 2024-07-11 00:30:05 发布
最新推荐文章于 2024-07-11 00:30:05 发布
阅读量5k 收藏 11
点赞数 5
分类专栏: web开发 文章标签: kerberos 连接池
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coder_zyz/article/details/81774559
版权

啥都不说,先吐槽,吐槽技术中心,吐槽部门,能不能让我安安全全的使用,不要扔个个东西来就让我用,在开发环境没有kerberos,来了上正式,直接给布上,你让我这连kerberos都不知道是啥的java开发人员咋搞,完,写一下自己通过连接池连接存在kerberos认证的impala+kudu数据库。

先说啥是kerberos:

“Kerberos 服务”是一种客户机/服务器体系结构,用于在网络上提供安全事务。该服务可提供功能强大的用户验证以及完整性和保密性。通过验证,可保证网络事务的发送者和接收者的身份真实。该服务还可以检验来回传递的数据的有效性(完整性),并在传输过程中对数据进行加密(保密性)。使用 Kerberos 服务,可以安全登录到其他计算机、执行命令、交换数据以及传输文件。此外,该服务还提供授权服务,这样,管理员便可限制对服务和计算机的访问。而且,作为 Kerberos 用户,您还可以控制其他用户对您帐户的访问。

解决方式及途径:

当时先在网上找资料,发现网上没有连接池连接的,只有通过JDBC直连的,代码如下:

public class App4 {
    public static void main(String[] args) throws ClassNotFoundException {
        String driverName="org.apache.hive.jdbc.HiveDriver";
        Class.forName("org.apache.hive.jdbc.HiveDriver");
        String url = "jdbc:hive2://135.12.70.35:21055/;principal=impala/nmdssc-135-12-70-35.nmds.com@NMDS.COM";
        
        Configuration conf = new Configuration();
        conf.set("hadoop.security.authentication", "Kerberos");
        try {
            System.setProperty("java.security.krb5.conf", "resource/krb5.conf");
            UserGroupInformation.setConfiguration(conf);
            UserGroupInformation.loginUserFromKeytab("impala/nmdssc-135-12-70-39.nmds.com@NMDS.COM", "resource/impala.haproxy.keytab");
        } catch (IOException e) {
            e.printStackTrace();
        }
        try {
            Class.forName(driverName);
            Connection conn = DriverManager.getConnection(url);
            Statement stmt = conn.createStatement();
            String sql = "select * from test1";
            ResultSet rs = stmt.executeQuery(sql);
            while (rs.next()) {
                System.out.println(rs.getInt(1));
            }
            stmt.close();
            rs.close();
            conn.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

通过上面发现,咋的,连接前先验证,但是连接池的init方法根本不用我写,这个咋搞,这时候我的思维进入了误区,想是不是需要修改连接池的源码,所以我写了了类继承DruidDataSource,重写了init方法在这上面加上kerberos验证,但是这种方法能实现,其实很错误,这可能我受了传统数据库的影响,以为每次建立连接都得验证,其实kerberos是单点登陆的,是服务器之间的通信,后来在领导的指导下,我采用了listener在项目启动时,对项目启动时验证,监听器如下:

public class GetConnListener implements ServletContextListener{
	private static Logger log = LoggerFactory.getLogger(GetConnListener.class) ;
	private static final  Configuration kuduconf = new Configuration();
	public static void initkerberos() throws IOException
	{
		 File directory = new File("");// 参数为空
	     String courseFile = directory.getCanonicalPath();
		 Configuration	conf = getKuduConf();
	     try {
	            System.setProperty("java.security.krb5.conf", courseFile+"/WebRoot/krb5.conf");
	            UserGroupInformation.setConfiguration(conf);
	            UserGroupInformation.loginUserFromKeytab("impala@NMDS.COM", courseFile+"/WebRoot/impala.haproxy.keytab");
	        } catch (IOException e) {
	            e.printStackTrace();
	        }
	       log.info("Kerberos验证程序") ;
	}
	@Override
	public void contextDestroyed(ServletContextEvent arg0) {
		
	}
	@Override
	public void contextInitialized(ServletContextEvent arg0) {
		try {
			initkerberos();
		} catch (IOException e) {
			e.printStackTrace();
		}
		log.info("Kerberos初始化完成") ;
	}
	public static Configuration getKuduConf(){
		kuduconf.set("hadoop.security.authentication", "Kerberos");
		return kuduconf;
	}
}

值得注意的是监听器的顺序,认证的这个监听器放在最上面,如下:

	<listener>
     			<listener-class>sjgl.system.GetConnListener</listener-class>
  	</listener>
	<!-- Spring监听配置,Web容器启动自动装配ApplicationContext的配置信息-->
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

但是不知道我看kerberos好像24小时失效,然后写了个定时任务及时认证,但是好像认证一次就不需要重复认证,他自己刷新,我也没管,保险起见,调度如下:

@Service
public class reloadkbs {
	private static Logger log = LoggerFactory.getLogger(reloadkbs.class) ;
	@Scheduled(fixedRate = 1000*60*60*23)  
	public void reloadkerberos() throws IOException{
		GetConnListener.initkerberos();
		log.info("Kerberos重新验证完成") ;
	}
}

但是在使用连接池时也遇到过连接池的问题例如,连接池隔一天断开,重启服务正常,错误提示:[Request processing failed; nested exception is org.hibernate.exception.GenericJDBCException: could not inspect JDBC autocommit mode] with root cause

java.net.SocketException: Software caused connection abort: socket write error

我按照druid的示例配置了最小连接数,以及检测连接打开,但是没用的?请问怎么看druid的保持连接池最小连接的检测日志输出???我看看有没有检测连接。

解决方案:首先更改wait_timeout是不好的。

用如下配置可以解决:

<property name="validationQuery" value="select 1" />
  <property name="testWhileIdle" value="true" />
  <property name="testOnBorrow" value="false" />
  <property name="testOnReturn" value="false" />
  <property name="timeBetweenEvictionRunsMillis" value="600000" />

testWhileIdle:建议配置为true,不影响性能,并且保证安全性。申请连接的时候检测,如果空闲时间大于

timeBetweenEvictionRunsMillis,执行validationQuery检测连接是否有效。

testOnBorrow:申请连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。

testOnReturn:归还连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能

 

另外:大家七夕快乐,今年七夕我还是一个人。

coder_zyz
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
tableau连接kerberos认证impala.docx
03-16
Tableau 连接 Kerberos 认证Impala Tableau 是一个数据可视化工具,Impala 是一个基于 Hadoop 的高性能查询引擎。为了安全地连接 Impala,需要使用 Kerberos 认证。下面将详细介绍如何使用 Tableau 连接 ...
Springboot使用hikari连接池进行Kerberos认证访问Impala
liufang_imei的博客
09-04 506
Springboot使用hikari连接池并进行Kerberos认证访问Impala的演示项目Springboot使用hikari连接池并进行Kerberos认证访问Impala的demo地址:https://github.com/Raray-chuan/springboot-kerberos-hikari-impala修改后的Hikari源码地址:https://github.com/Raray-chuan/HikariCP-4.0.3。
集成kerberoskudu(1.10.0) 访问
dfdf123123的博客
09-12 1658
目录 集成kerberoskudu 访问 kudu Api (java) kudu Impala JDBC (java) kudu Spark (scala) 集成kerberoskudu 访问 kudu Api (java) 1. ...
04、Kerberos安全认证之配置和访问Kerberos安全认证的Hive集群学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1191
04、Kerberos安全认证之配置和访问Kerberos安全认证的Hive集群学习笔记
SpringBoot 集成 Impala + mybatis + druid
Janche的博客
09-23 4772
1. 获取依赖 Impala的依赖在maven仓库下载不了,需要自己去官网下载: https://www.cloudera.com/downloads/connectors/impala/jdbc/2-6-3.html , 麻烦可直接去博主的GitHub项目中获取 2. 配置Druid连接池 Druid依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-b
SpringBoot项目连接,有Kerberos认证的Kafka
weixin_50737119的博客
11-23 1285
本文章用于快速使用java程序,连接到有Kerberos认证的Kafka,并监听到消息
CDH禁用Kerberos
chanyue123的博客
09-22 1707
禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启了Kerberos的组件的配置。修改步骤按以下来: 1.先关闭集群(如果yarn上有任务则等待停止,或手动停止)。 2.修改zookeeper的配置 enableSecurity取消勾选,Enable Kerberos Authentication取消勾选,在zoo.cfg 的Server 高级配置代码段(安全阀)写入skipACL: yes 如下图: 3.修改HDFS配置 修改hadoop.security.authentic
flink写入带kerberos认证kudu connector
03-24
此时,Flink作业将使用Kerberos认证连接Kudu,并进行数据读写操作。请注意,确保Flink作业的运行环境和Kudu集群都已正确配置Kerberos。 总结,配置Flink写入带Kerberos认证Kudu Connector涉及多个步骤,包括...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
在本文中,我们将深入探讨如何使用Python 3.6.5版本通过Kerberos认证连接Hive和HDFS。Kerberos是一种广泛使用的网络身份验证协议,它为不安全的网络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...
大数据+kerberos+impala源码
05-12
Impala是用于处理存储在Hadoop集群中的大量数据的MPP(大规模并行处理)SQL查询引擎。...本示例使用java通过jdbc连接kerberos认证impala,包含代码及impalaJDBC官方驱动。可以实现通过impala加速访问hive数据仓库
kerberos认证hive连接代码
12-05
本篇将详细介绍如何在Spring MVC框架中配置Kerberos认证,并通过Java代码与Hive建立安全连接。 首先,`Kerberos认证`是一种基于票据的认证机制,它通过三向握手确保了通信双方的身份,并防止中间人攻击。在Hive中...
Mybatis-plus + kerberos+hikari+impala实现客户端身份认证
学习之路
08-13 1825
项目为已部署项目, impala新增Kerberos认证,因原有项目架构体系, 引入了多数据源, 新增认证只针对impala链接的升级,需要适配当前框架增加Kerberos客户端用户验证。Mybatis-plus 基于轻量级持久层框架mybatis的增强,易于使用,支持lamda方式查询、多数据源动态配置等;思路二: 重写连接池getConnection方法, 将自定义连接池整合入mybatis-plus动态数据源框架。验证配置是否正确,数据链路是否打通, 如果存在问题, 请依据服务端配置调整参数。....
springboot中使用jdbc+impala+Kerberos+数据源查询hive
nb7474的博客
07-31 7962
在springboot中使用jdbc连接impala可以参照上一篇笔记java使用jdbc绕过Kerberos连接impala,此次是在上一篇的基础上进行优化。增加了数据库连接池与同步hive操作。 目录1. 同步hive2. Kerberos认证Springboot启动时执行指定代码3. 使用连接池自定义连接池的使用3. 测试方法 1. 同步hive 在本项目的实际应用场景中,会向hive中...
HikariCP源码修改,使其连接池支持Kerberos认证
liufang_imei的博客
09-03 582
通过上面的源码跟踪,可以发现,创建Connection是在。
druid使用kerberos化的hdfs作为深度存储
weixin_43172032的博客
07-08 487
druid使用kerberos化的hdfs作为深度存储一,在kerberos中生成供druid使用的principle二,修改common.runtime.properties配置文件三,添加hdfs配置文件并修改访问权限 一,在kerberos中生成供druid使用的principle 在kerberos server所在机器使用如下命令添加principle,并生成keytab文件。将keytab文件拷贝至druid各节点的指定目录下。(主要是data节点) kadmin.local addprinc
关于星环TDH产品的Java通过Kerberos安全认证连接hyperbase
public_stati的博客
03-22 866
这个是星环的官方文档,也可以按照他的配,实现他的前提是要你的客户端开启Kerberos认证的,还要注意每次关闭和开启都要重新下载hyperbase.Kerberos文件。首先,如果要运行上面的东西,你需要去星环所在服务器上自己下载jar包依赖,并且还要自己去星环平台下载他们的客户端到自己主机,不然会找不到认证文件。Kerberos 所管理的一个用户或者一个服务,可以理解为 Kerberos 中保存的一个账号,2)Realm:Kerberos 所管理的一个领域或范围,称之为一个 Realm。
Boot 连接 Impala数据库
lvhui321的博客
06-28 1270
Boot 连接 Impala数据库
Java JDBC连接Kerberos认证的HIVE 和 Impala
Donnedaen的专栏
05-14 700
JDBC 连接 HIVE 和 Impala
0452-如何使用Java代码访问Kerberos环境下的Kudu
Hadoop_SC的博客
02-01 758
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1 文档编写目的 前面Fayson介绍了《如何使用Java API访问CDH的Kudu》,文章是在非安全环境下实现,随着对集群安全要求的提高,在Kerberos环境...
java api连接kerberos认证的es
05-30
要使用Java API连接使用Kerberos认证的Elasticsearch集群,你需要遵循以下步骤: 1. 首先,你需要为你的Java应用程序配置Kerberos认证。这可以通过在你的应用程序中使用JAAS(Java Authentication and Authorization Service)框架来完成。 2. 然后,你需要在Elasticsearch集群中启用Kerberos认证。这可以通过在elasticsearch.yml配置文件中设置以下属性来完成: ``` xpack.security.authc.realms: kerberos.kerb1: type: kerberos order: 0 krb5_file_path: /path/to/krb5.conf keytab_path: /path/to/elasticsearch.keytab ``` 其中,`krb5_file_path`是指向Kerberos配置文件的路径,`keytab_path`是指向Elasticsearch服务的keytab文件路径。 3. 接下来,你需要使用Java API创建一个Elasticsearch客户端,并使用Kerberos认证进行身份验证。以下是一个示例代码: ``` public class KerberosESClient { public static void main(String[] args) throws Exception { Configuration conf = new Configuration(); conf.setBoolean("hadoop.security.authentication", true); UserGroupInformation.setConfiguration(conf); UserGroupInformation.loginUserFromKeytab("your_principal", "/path/to/your/keytab"); Settings settings = Settings.builder() .put("cluster.name", "your_cluster_name") .put("xpack.security.user", "your_username:your_password") .put("client.transport.sniff", true) .build(); TransportClient client = new PreBuiltXPackTransportClient(settings) .addTransportAddress(new InetSocketTransportAddress(InetAddress.getByName("your_es_host"), 9300)); SearchResponse response = client.prepareSearch().execute().actionGet(); client.close(); } } ``` 在上面的代码中,`UserGroupInformation`类用于从指定的keytab文件中获取Kerberos凭证,然后使用这些凭证创建一个Elasticsearch客户端。`Settings`类用于配置一些连接参数,例如集群名称、节点授权信息等。`TransportClient`类用于实现与Elasticsearch节点的通信,可以使用`prepareSearch`方法发送一个查询请求并获取结果。 希望这个回答能够帮助到你!
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值