yarn上配置kerberos(十二)

最新推荐文章于 2022-08-18 17:20:05 发布
最新推荐文章于 2022-08-18 17:20:05 发布
阅读量3.5k 收藏 3
点赞数
分类专栏: kerberos 文章标签: hadoop kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forever19870418/article/details/69389844
版权
一、创建认证规则
二、创建Keytab文件
三、部署Kerberos Keytab文件
四、修改YARN配置文件,包括
1)yarn-site.xml
2)mapred-site.xml
3)container-executor.cfg
五、启动服务
六、测试


实施步骤
1、创建认证规则
[root@cdh1 training]# kadmin.local -q "addprinc -randkey yarn/cdh1@ZGP.COM"
Authenticating as principal hdfs/admin@ZGP.COM with password.
WARNING: no policy specified for yarn/cdh1@ZGP.COM; defaulting to no policy
Principal "yarn/cdh1@ZGP.COM" created.
[root@cdh1 training]# kadmin.local -q "addprinc -randkey yarn/cdh2@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey yarn/cdh3@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey mapred/cdh1@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey mapred/cdh2@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey mapred/cdh3@ZGP.COM"
[root@cdh1 training]#
查看创建的认证
[root@cdh1 training]# kadmin.local -q "listprincs"
Authenticating as principal hdfs/admin@ZGP.COM with password.
HTTP/cdh1@ZGP.COM
HTTP/cdh2@ZGP.COM
HTTP/cdh3@ZGP.COM
K/M@ZGP.COM
hdfs/cdh1@ZGP.COM
hdfs/cdh2@ZGP.COM
hdfs/cdh3@ZGP.COM
kadmin/admin@ZGP.COM
kadmin/cdh1@ZGP.COM
kadmin/changepw@ZGP.COM
krbtgt/ZGP.COM@ZGP.COM
mapred/cdh1@ZGP.COM
mapred/cdh2@ZGP.COM
mapred/cdh3@ZGP.COM
root/admin@ZGP.COM
yarn/cdh1@ZGP.COM
yarn/cdh2@ZGP.COM
yarn/cdh3@ZGP.COM
[root@cdh1 training]#


2、创建keytab文件
[root@cdh1 training]# cd /var/kerberos/krb5kdc/
[root@cdh1 training]# kadmin.local -q "xst -k yarn.keytab yarn/cdh1@ZGP.COM"
Authenticating as principal hdfs/admin@ZGP.COM with password.
Entry for principal yarn/cdh1@ZGP.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:yarn.keytab.
Entry for principal yarn/cdh1@ZGP.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:yarn.keytab.
Entry for principal yarn/cdh1@ZGP.COM with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:yarn.keytab.
Entry for principal yarn/cdh1@ZGP.COM with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:yarn.keytab.
[root@cdh1 training]# kadmin.local -q "xst -k yarn.keytab yarn/cdh2@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "xst -k yarn.keytab yarn/cdh3@ZGP.COM"
[root@cdh1 training]#
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k mapred.keytab mapred/cdh1@ZGP.COM"
Authenticating as principal hdfs/admin@ZGP.COM with password.
Entry for principal mapred/cdh1@ZGP.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:mapred.keytab.
Entry for principal mapred/cdh1@ZGP.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:mapred.keytab.
Entry for principal mapred/cdh1@ZGP.COM with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:mapred.keytab.
Entry for principal mapred/cdh1@ZGP.COM with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:mapred.keytab.
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k mapred.keytab mapred/cdh2@ZGP.COM"
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k mapred.keytab mapred/cdh3@ZGP.COM"
[root@cdh1 krb5kdc]#

查看加密方式和时间戳
[root@cdh1 training]# klist -ket yarn.keytab
Keytab name: WRFILE:yarn.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 04/04/17 22:09:43 yarn/cdh1@ZGP.COM (des3-cbc-sha1) 
   2 04/04/17 22:09:43 yarn/cdh1@ZGP.COM (arcfour-hmac) 
   2 04/04/17 22:09:43 yarn/cdh1@ZGP.COM (des-hmac-sha1) 
   2 04/04/17 22:09:43 yarn/cdh1@ZGP.COM (des-cbc-md5) 
   2 04/04/17 22:09:53 yarn/cdh2@ZGP.COM (des3-cbc-sha1) 
   2 04/04/17 22:09:53 yarn/cdh2@ZGP.COM (arcfour-hmac) 
   2 04/04/17 22:09:53 yarn/cdh2@ZGP.COM (des-hmac-sha1) 
   2 04/04/17 22:09:53 yarn/cdh2@ZGP.COM (des-cbc-md5) 
   2 04/04/17 22:10:13 yarn/cdh3@ZGP.COM (des3-cbc-sha1) 
   2 04/04/17 22:10:13 yarn/cdh3@ZGP.COM (arcfour-hmac) 
   2 04/04/17 22:10:13 yarn/cdh3@ZGP.COM (des-hmac-sha1) 
   2 04/04/17 22:10:13 yarn/cdh3@ZGP.COM (des-cbc-md5) 
[root@cdh1 training]#
[root@cdh1 krb5kdc]# klist -ket mapred.keytab
Keytab name: WRFILE:mapred.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 04/04/17 22:16:58 mapred/cdh1@ZGP.COM (des3-cbc-sha1) 
   2 04/04/17 22:16:58 mapred/cdh1@ZGP.COM (arcfour-hmac) 
   2 04/04/17 22:16:58 mapred/cdh1@ZGP.COM (des-hmac-sha1) 
   2 04/04/17 22:16:58 mapred/cdh1@ZGP.COM (des-cbc-md5) 
   2 04/04/17 22:17:04 mapred/cdh2@ZGP.COM (des3-cbc-sha1) 
   2 04/04/17 22:17:04 mapred/cdh2@ZGP.COM (arcfour-hmac) 
   2 04/04/17 22:17:04 mapred/cdh2@ZGP.COM (des-hmac-sha1) 
   2 04/04/17 22:17:04 mapred/cdh2@ZGP.COM (des-cbc-md5) 
   2 04/04/17 22:17:10 mapred/cdh3@ZGP.COM (des3-cbc-sha1) 
   2 04/04/17 22:17:10 mapred/cdh3@ZGP.COM (arcfour-hmac) 
   2 04/04/17 22:17:10 mapred/cdh3@ZGP.COM (des-hmac-sha1) 
   2 04/04/17 22:17:10 mapred/cdh3@ZGP.COM (des-cbc-md5) 
[root@cdh1 krb5kdc]#
3、部署Kerberos Keytab文件
[root@cdh1 krb5kdc]# cp yarn.keytab /etc/hadoop/conf
[root@cdh1 krb5kdc]# cp mapred.keytab /etc/hadoop/conf
[root@cdh1 krb5kdc]# cd /etc/hadoop/conf
[root@cdh1 conf]# chown yarn:hadoop yarn.keytab 
[root@cdh1 conf]# chown mapred:hadoop mapred.keytab 
[root@cdh1 conf]# chmod 400 yarn.keytab mapred.keytab 
[root@cdh1 conf]# scp mapred.keytab yarn.keytab cdh2:/etc/hadoop/conf   
[root@cdh1 conf]# scp mapred.keytab yarn.keytab cdh3:/etc/hadoop/conf

[root@cdh1 conf]#


确认是否更改完成
[root@cdh1 conf]# slaves.sh ls -l /etc/hadoop/conf/*.keytab
cdh2: -r-------- 1 hdfs hadoop 1298 Apr  1 04:17 /etc/hadoop/conf/hdfs.keytab
cdh2: -r-------- 1 root root    674 Apr  4 22:28 /etc/hadoop/conf/mapred.keytab
cdh2: -r-------- 1 root root    650 Apr  4 22:28 /etc/hadoop/conf/yarn.keytab
cdh3: -r-------- 1 hdfs hadoop 1298 Apr  1 04:17 /etc/hadoop/conf/hdfs.keytab
cdh3: -r-------- 1 root root    674 Apr  4 22:28 /etc/hadoop/conf/mapred.keytab
cdh3: -r-------- 1 root root    650 Apr  4 22:28 /etc/hadoop/conf/yarn.keytab
[root@cdh1 conf]#
[root@cdh1 conf]# ssh cdh2 "chown yarn:hadoop /etc/hadoop/conf/yarn.keytab;chown mapred:hadoop /etc/hadoop/conf/mapred.keytab"
[root@cdh1 conf]# ssh cdh3 "chown yarn:hadoop /etc/hadoop/conf/yarn.keytab;chown mapred:hadoop /etc/hadoop/conf/mapred.keytab"


4、修改YARN配置文件
1) yarn-site.xml
[root@cdh1 conf]# vi yarn-site.xml
  <!--YARN kerberos security-->
 <property>
  <name>yarn.resourcemanager.keytab</name>
  <value>/etc/hadoop/conf/yarn.keytab</value>
 </property>
  <property>
  <name>yarn.resourcemanager.principal</name>
  <value>yarn/_HOST@ZGP.COM</value>
 </property>
  <property>
  <name>yarn.nodemanager.keytab</name>
  <value>/etc/hadoop/conf/yarn.keytab</value>
 </property>
<property>
  <name>yarn.nodemanager.principal</name>
  <value>yarn/_HOST@ZGP.COM</value>
 </property>
  <property>
    <name>yarn.nodemanager.container-executor.class</name>
    <value>org.apache.hadoop.yarn.server.nodemanager.LinuxContainerExecutor</value>
  </property>
    <property>
    <name>yarn.nodemanager.linux-container-executor.group</name>
    <value>yarn</value>
  </property>

2) mapred-site.xml

<!--mapred kerberos security-->
  <property>
    <name>mapreduce.jobhistory.keytab</name>
    <value>/etc/hadoop/conf/mapred.keytab</value>
  </property>
  <property>
    <name>mapreduce.jobhistory.principal</name>
    <value>mapred/_HOST@ZGP.COM</value>
  </property>


3) container-executor.cfg
[root@cdh1 conf]# vi container-executor.cfg
yarn.nodemanager.linux-container-executor.group=yarn
#configured value of yarn.nodemanager.linux-container-executor.group


banned.users=bin
#comma separated list of users who can not run applications


min.user.id=0
#Prevent other super-users


allowed.system.users=root,yarn,hdfs,mapred,nobody
##comma separated list of system users who CAN run applications


修改属组与权限
[root@cdh1 conf]# chown root:yarn container-executor.cfg 
[root@cdh1 conf]# chmod 400 container-executor.cfg 
[root@cdh1 conf]#

配置文件分发
[root@cdh1 conf]# scp yarn-site.xml mapred-site.xml container-executor.cfg cdh2:/etc/hadoop/conf
[root@cdh1 conf]# scp yarn-site.xml mapred-site.xml container-executor.cfg cdh3:/etc/hadoop/conf
[root@cdh1 conf]# slaves.sh chown root:yarn /etc/hadoop/conf/container-executor.cfg
[root@cdh1 conf]# slaves.sh chmod 400 /etc/hadoop/conf/container-executor.cfg


5、启动服务


启动resourcemanager和nodemanager
[root@cdh1 ~]# cat yarn_start.sh
ssh cdh1 "kinit -k -t /etc/hadoop/conf/yarn.keytab yarn/cdh1@ZGP.COM;/etc/init.d/hadoop-yarn-resourcemanager start"
ssh cdh2 "kinit -k -t /etc/hadoop/conf/yarn.keytab yarn/cdh1@ZGP.COM;/etc/init.d/hadoop-yarn-nodemanager start"
ssh cdh3 "kinit -k -t /etc/hadoop/conf/yarn.keytab yarn/cdh1@ZGP.COM;/etc/init.d/hadoop-yarn-nodemanager start"
[root@cdh1 ~]# ./yarn_start.sh
6、测试

[root@cdh1 ~]# hadoop jar /usr/lib/hadoop-mapreduce/hadoop-mapreduce-examples.jar wordcount /tmp/wordcount/in /tmp/wordcount/out


yarn上配置kerberos完成

forever19870418
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开启 Kerberos 安全的大数据环境中,Yarn Container 启动失败导致作业失败
明哥的IT随笔
09-16 1794
大数据问题排查系列 - 开启 Kerberos 安全的大数据环境中,Yarn Container 启动失败导致 spark/hive 作业失败 前言 大家好,我是明哥! 最近在若干个不同客户现场,都遇到了 大数据集群中开启 Kerberos 后,spark/hive 作业提交到YARN 后,因 YARN Container 启动失败作业无法执行的情况,在此总结下背后的知识点,跟大家分享下,希望大家有所收获。 1 问题1问题现象 某客户现场,大数据集群中开启了 kerberos 安全认证,提交 hive on
为hdfs配置kerberos
10-27
"HDFS 配置 Kerberos" 本文档记录了为 Hadoop 的 HDFS 配置 Kerberos 的过程,Hadoop 的版本是 2.4.1。Kerberos 是一种常用的身份验证协议,用于提供安全的身份验证机制。在 Hadoop 中,Kerberos 可以用于 HDFS 和 ...
[ YARN 3.1.x ] 开启Kerberos配置&使用
张伯毅的专栏
03-28 2710
.一 .前言1.1. 环境说明1.2. 服务规划1.3. 安装Kerberos环境1.4. 安装YARN环境二 .安装YARN2.1. 添加用户2.2. 配置YARN相关的Kerberos账户2.2.1. 创建keytab存放目录2.2.2. 配置master01上面运行的服务对应的Kerberos账户2.2.3. 权限设置2.2.4. 编译源码构建Linux-Container-executor2.2.5. 设置 hadoop 需要使用的各个目录的权限2.3. 配置hadoop的 lib/native(
kerberos体系下的应用(yarn,spark on yarn)
hellozhxy的博客
11-28 3009
kerberos 介绍 阅读本文之前建议先预读下面这篇博客kerberos认证原理---讲的非常细致,易懂 Kerberos实际上一个基于Ticket的认证方式。Client想要获取Server端的资源,先得通过Server的认证;而认证的先决条件是Client向Server提供从KDC获得的一个有Server的Master Key进行加密的Session Ticket(Session K...
yarn配置kerberos
qq_25617289的博客
08-03 565
1:在hadoop01机器上添加其他节点的3个认证 t添加对hdfs的认证: kadmin.local -q "addprinc -randkey yarn/hadoop01@HADOOP.COM" kadmin.local -q "addprinc -randkey yarn/hadoop02@HADOOP.COM" kadmin.local -q "addprinc -randk...
Java代码使用Spark on Yarn 方式提交任务到带Kerberos认证的Hadoop集群
weixin_34068198的博客
10-16 3588
2019独角兽企业重金招聘Python工程师标准>>> ...
kerberos+hadoop搭建
04-01
Kerberos+Hadoop 搭建是一个复杂的过程,需要进行环境准备、Kerberos 配置、HDFS 配置YARN 配置和 Hive 配置等多个步骤。但是,通过这篇文章,读者可以了解 Kerberos+Hadoop 搭建的整个过程,并掌握相关的知识点。
hadoop快速集成kerberos认证
01-13
同样,ZooKeeper也需要配置Kerberos以增强安全性。通过`start-kerberos-zk.sh`脚本,可以一键启动Kerberos认证的ZooKeeper服务,简化了操作流程。 `hbase-setup.sh`可能是用来自动化HBase的Kerberos配置和启动的...
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
手把手视频详细讲解项目开发全过程,需要的小伙伴自行百度网盘下载,链接见附件,永久有效。 课程简介 ...第五章 配置YARNKerberos的集成 第六章 配置HIVE和Kerberos的集成 第七章 最终集成测试验收成果
jdk1.8+yarn-1.22.10.tar.gz
最新发布
01-03
接着,需要更新Hadoop配置文件(如`yarn-site.xml`和`core-site.xml`),配置YARN的相关参数,如内存和CPU的分配策略。最后,启动YARN服务,确保所有节点都能正常通信。 总之,JDK 1.8和YARN 1.22.10的结合,为基于...
hadoop2.7.2开启kerberos认证
xiao90713的博客
07-13 3694
环境介绍: 一共三台机器: hadoop11: 192.168.230.11 namenode 、kerberos client hadoop12: 192.168.230.12 datanode 、kerberos client hadoop13: 192.168.230.13 datanode 、kerberos server(KDC) 保证安装kerberos 之前能正常开启hadoop集群(已安装集群) 一、介绍安装kerberos服务器 1、在hadoop13安装kerberos se
Spark操作Hive(开启Kerberos认证)代码提交华为云DAYU的MRS Spark组件--方法流程及注意事项
weixin_44455388的博客
12-14 4371
背景: 最近在测试华为云DAYU MRS Spark操作Hive的流程,因kerberos认证的问题一直测试失败。 代码示例: val sparkSession = SparkSession.builder() .appName(this.getClass.getSimpleName.filter(!_.equals('$'))) .enableHiveSupport() .getOrCreate() val sc: SparkContext = sparkSessio
计算机安全基础:认证技术知识笔记
IT技术分享社区
10-02 672
1、认证技术介绍认证技术主要是用来解决网络通信过程中通信双方身份的认可。认证的过程涉及加密和密钥交换。认证方一般都会有账户名、口令、使用摘要算法和基于PK...
YARN、Spark、Hive使用kerberos
一只刚刚上路的猿
02-20 1万+
本文记录YARN、Spark、Hive各服务配置使用kerberos的过程。 我的环境: 三台服务器,分别命名为zelda1、zelda2、zelda3ubuntu 14.04hadoop 2.7.2spark 2.0/1.6.1 YARN认证 目的是将YARN接入到kerberos集群里,使得: RM和NM之间能互相认证,避免混进去恶意服务;其他提交到YARN上的J
【spark】记录一次 spark sparkstreaming 使用命令行提交任务在Yarn集群模式无法正常消费kerberos kafka数据的问题
Mrerlou的博客
08-18 4245
最近在提交spark程序到yarn消费kerberos认证方式的kafka数据。由于配置文件 相对/绝对路径不正确配置遇到了报错,这里整理并记录一下。以上的问题,说白了就是在任务真正的执行节点,并没有成功从绝对路径中加载到对应的配置文件。因为别的节点并没有这些配置文件。所以需要用--flies将我们需要用到的配置都加载到yarn服务上,然后yarn来将这些配置问价分发到真正执行任务的目录上。所以我们用的一些参数中指定的配置也须写成相对路径。和。.........
Hadoopyarn-site.xml配置文件详解
热门推荐
康师傅没有眼泪
10-16 1万+
<-- 允许跨域访问的来源,如果有多个,用逗号(,)分隔 --> <property> <name>hadoop.http.cross-origin.allowed-origins</name> <value>*</value> </property><-- 与 DNS 侦听器应绑定到的网络接口关联的地址。 --> ...
YARN配置Kerberos认证
weixin_33918114的博客
04-08 2222
关于 Kerberos 的安装和 HDFS 配置 kerberos 认证,请参考HDFS配置kerberos认证。 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角色规划为: 192.168.56.121 cdh1 N...
Spark应用如何访问带Kerberos认证的CDH Hadoop集群
jsky_studio的专栏
07-15 9354
我用的是 Spark Standalone集群,当运行kinit命令导入证书,并把CDH Hadoop集群的配置文件放入spark/conf/目录后,提交应用发现还是无法访问CDH Hadoop。 后来查了下官网资料,貌似Standalone模式的Spark集群不支持访问Kerberos认证的Hadoop,我们可以使用Yarn Client模式管理的的Spark集群。 假设你的Hadoop集群
hive配置kerberos认证
05-24
在 Hive 中启用 Kerberos 认证需要在 Hadoop 和 Hive 中进行相应的配置。以下是一些大致的步骤: 1. 在 Hadoop 的 core-site.xml 中添加以下属性: ``` <property> <name>hadoop.security.authentication</name> <value>kerberos</value> </property> ``` 2. 在 Hadoop 的 hdfs-site.xml 中添加以下属性: ``` <property> <name>dfs.namenode.kerberos.principal</name> <value>hdfs/_HOST@EXAMPLE.COM</value> </property> <property> <name>dfs.datanode.kerberos.principal</name> <value>hdfs/_HOST@EXAMPLE.COM</value> </property> ``` 3. 在 Hadoopyarn-site.xml 中添加以下属性: ``` <property> <name>yarn.resourcemanager.principal</name> <value>yarn/_HOST@EXAMPLE.COM</value> </property> <property> <name>yarn.nodemanager.principal</name> <value>yarn/_HOST@EXAMPLE.COM</value> </property> ``` 4. 在 Hive 的 hive-site.xml 中添加以下属性: ``` <property> <name>hive.metastore.sasl.enabled</name> <value>true</value> </property> <property> <name>hive.metastore.kerberos.keytab.file</name> <value>/path/to/hive.keytab</value> </property> <property> <name>hive.metastore.kerberos.principal</name> <value>hive/_HOST@EXAMPLE.COM</value> </property> ``` 其中,`hive.metastore.kerberos.keytab.file` 指定的是 Hive 的 keytab 文件路径,`hive.metastore.kerberos.principal` 指定的是 Hive 的 principal 名称。 5. 在启动 Hive 的时候,需要使用以下命令来启动 Kerberos 认证: ``` kinit -kt /path/to/hive.keytab hive/_HOST@EXAMPLE.COM ``` 这个命令将会使用指定的 keytab 文件和 principal 来获取 Kerberos 的 ticket。在 ticket 过期之前,你可以使用这个 ticket 来访问 Hive。 以上是 Hive 配置 Kerberos 认证的大致步骤,具体的配置可能因环境不同而有所不同。如果你遇到了问题,可以参考官方文档或者咨询相关的技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值