【分析思路】hadoop 3.3.1 bug修复:failed with status code 401 Response message: Authentication required

已于 2023-05-12 16:56:21 修改
阅读量1k 收藏 1
点赞数
分类专栏: # hadoop运维 文章标签: bug hadoop hdfs
于 2022-09-05 21:37:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiliang521/article/details/126709611
版权

文章目录

一. 问题概述

为了支持国产化,hadoop需要安装3.3.1版本,而客户这边需要安全认证,所以对于hadoop需要做的事是升级到3.3.1版本、支持HA模式、安全认证。本文关注hadoop升级和启动过程中出现的401权限问题。

具体地、安装hadoop3.3.1,当格式化完namenode准备同步元数据到另外一个nn节点时报错,即在另外一个namenode节点执行:

hdfs namenode -bootstrapStandby

报错:

...
ERROR [main] org.apache.hadoop.hdfs.server.namenode.NameNode: Failed to start namenode.
java.io.IOException: java.lang.RuntimeException: org.apache.hadoop.hdfs.server.common.HttpGetFailedException: Image transfer servlet at http://XXXXX/imagetransfer?ge
timage=1&txid=0&storageInfo=-65:271209174:1614287921618:CID-f21dbb8a-8660-4ef6-8045-f80daf067c38&bootstrapstandby=true failed with status code 401
Response message:
Authentication required
        at org.apache.hadoop.hdfs.server.namenode.ha.BootstrapStandby.run(BootstrapStandby.java:549)
        at org.apache.hadoop.hdfs.server.namenode.NameNode.createNameNode(NameNode.java:1728)
        at org.apache.hadoop.hdfs.server.namenode.NameNode.main(NameNode.java:1821)
Caused by: java.lang.RuntimeException: org.apache.hadoop.hdfs.server.common.HttpGetFailedException: Image transfer servlet at http://XXXXX/imagetransfer?getimage=1&t
xid=0&storageInfo=-65:271209174:1614287921618:CID-f21dbb8a-8660-4ef6-8045-f80daf067c38&bootstrapstandby=true failed with status code 401
Response message:
Authentication required
        at org.apache.hadoop.hdfs.server.namenode.ha.BootstrapStandby$1.run(BootstrapStandby.java:127)
        at org.apache.hadoop.hdfs.server.namenode.ha.BootstrapStandby$1.run(BootstrapStandby.java:121)
        at org.apache.hadoop.security.SecurityUtil.doAsLoginUserOrFatal(SecurityUtil.java:485)
        at org.apache.hadoop.hdfs.server.namenode.ha.BootstrapStandby.run(BootstrapStandby.java:121)
        at org.apache.hadoop.util.ToolRunner.run(ToolRunner.java:76)
        at org.apache.hadoop.util.ToolRunner.run(ToolRunner.java:90)
        at org.apache.hadoop.hdfs.server.namenode.ha.BootstrapStandby.run(BootstrapStandby.java:544)
        ... 2 more
...

log的基本信息就是:

通过http://XXXXX/imagetransfer?xxx 同步镜像到另外一个namenode时,报401权限错误。

这个问题我们也可以大概了解是因为设置了web console的simple认证,而通过的url没有添加 user.name=xxx 导致报401。

那既然这样,我们就不执行这个命令去同步元数据,直接SCP将数据拷贝到目标节点。

scp -P 36000 -r namenode/*   root@ip:/data/appData/hadoop/namenode/

启动两个namenode节点发现报错暂时消失。。。
 

然而问题很快就又出现了,我停掉namenode然后再启动,发现又报了如下错:
在这里插入图片描述

根据堆栈信息可以大概了解到,namenode启动时找journalnode去同步数据报权限的错误,类似的也是通过http请求去同步数据。。。
 
是官方的bug吗?!

此时可以猜测:hadoop升级到3.3.1后,有关web的请求都需要手动添加认证(user.name=xxx)!!! 直接访问web端还好,可以自己手动添加,但是hadoop内部通讯手动添加认证,实在是无能为力。。。

 
 

二. 解决思路

1. 理解hadoop web请求鉴权的逻辑,修改源码 ing

通过观察源码,大概了解到,当hadoop进行web请求时,hadoop会有一个filter进行拦截,然后进行鉴权的检查。
对于我们配置的simple认证,鉴权的方式如下:

public class PseudoAuthenticationHandler implements AuthenticationHandler {
。。。
  @Override
  public AuthenticationToken authenticate(HttpServletRequest request, HttpServletResponse response)
    throws IOException, AuthenticationException {
    AuthenticationToken token;
    String userName = getUserName(request);
    if (userName == null) {
      if (getAcceptAnonymous()) {
        token = AuthenticationToken.ANONYMOUS;
      } else {
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.setHeader(WWW_AUTHENTICATE, PSEUDO_AUTH);
        token = null;
      }
    } else {
      token = new AuthenticationToken(userName, userName, getType());
    }
    return token;
  }

具体逻辑放到专门一篇来分析ing。

具体实现见,最新文章

【修改源码】修复hadoop 3.3.1 内部通讯权限问题:failed with status code 401 Response message: Authentication required

 

2. 放弃hadoop官方的安全认证,使用tegine代理

思路大概是:通过自定义端口,当访问此端口时,进行认证,认证通过后再跳转hadoop页面。而对于hadoop内部通讯,其实此时已经没有了认证。

具体实现见:
Hadoop Web 控制台安全认证——使用用户名 + 密码登陆设置方法 (Hadoop HTTP web-控制台认证 )

 

3. 通过Kerberos认证

大数据常用的认证方式,但自建比较麻烦。

目前做一套Kerberos的认证,需要将hadoop、zookeeper、flink 、kafka等组件都进行配置,而且有一些坑,虽然推荐,但是感觉费力不讨好,使得服务运维成本变高。

 

4. 降低版本到2.x

 

roman_日积跬步-终至千里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hadoop】Simple Authentication
TragicJun的专栏
08-07 6182
最近在写一个MapReduce程序,需要从DB里面读取某些数据,但是公司内所有的DB都是Kerberos方式认证,因而有必要对MapReduce Security机制做一些初步的研究。 JAAS 首先,Hadoop Security是基于JAAS(Java Authentication and Authorization Service)实现的,这是JDK标准的一个框架,可plug各种类型的L
【修改源码】hadoop 3.3.1 failed with status code 401 Response message: Authentication required
hiliang521的博客
09-19 1246
本文主要通过修改源码解决hadoop内部通讯鉴权的问题。
Request failed with status code 401 AxiosError: Request failed with status code 401
2301_76868945的博客
07-18 5830
发送请求时出现error:Request failed with status code 401。401考虑到token问题和token编译问题。发现"Basic"中没加空格。查看请求拦截代码,没问题。结果:可以正常发送请求。
Hadoop 3.3.2 HDFS Simple认证Standby同步格式化信息失败 Authentication required
sinat_27418407的博客
03-17 2732
文章目录背景认证配置方式解决方式修改源码回退版本Nginx HTTP代理Kerberos认证 背景 参考文档配置Hadoop HTTP Authentication Simple认证,在2.7.7版本工作正常,升级到3.3.2版本后出现以下异常。 ... 2021-02-25 21:18:52,356 ERROR [main] org.apache.hadoop.hdfs.server.namenode.NameNode: Failed to start namenode. java.io.IOExcept
java访问HDFS指定HADOOP_USER_NAME仍然不生效解决方法
trnanan的博客
07-20 5908
使用java访问HDFS特别是HDFS没有开启ACLS的情况下,如果未正确指定用户,HDFS会使用当前用户进行访问,如果当前用户是administrator、root等用户可能对HDFS没有访问权限,此时我们能够想到的有以下几种解决方案 1.将hdfs目录权限改为当前用户 2.使用hdfs上面的用户启动程序 3.在程序里面指定,其中XXXXXXX代表有权限的用户名 System.setProperty("HADOOP_USER_NAME","xxxxxxxx"); 当然我们是推崇第三种方法的,但
hadoop web 端口安全认证
sunyang098的博客
09-21 4749
Hadoop集群配置完成,web监控界面的50070和50030端口不需用户验证即可访问,对生产环境是不容许的,需要加上安全机制。 1、修改core-site.xml,增加如下内容,配置完成后拷贝到其他节点上。         hadoop.http.filter.initializers     org.apache.hadoop.security.AuthenticationFilt
hadoop-3.3.1 windows + apache-hadoop-3.1.0-winutils-master.zip
05-08
Hadoop是大数据处理领域的重要工具,它是一个开源的分布式计算框架,主要由HDFS(Hadoop Distributed File System)和MapReduce两部分组成。Hadoop 3.3.1是其最新的稳定版本,针对性能和稳定性进行了诸多改进。在这...
Kudu:支持快速分析的新型Hadoop存储系统
02-24
Kudu是Cloudera开源的新型列式存储系统,是ApacheHadoop生态圈的新成员之一(incubating),专门为了对快速变化的数据进行快速的分析,填补了以往Hadoop存储层的空缺。Hadoop生态系统有很多组件,每一个组件有不同的...
Hadoop上运行SQL:程序员需知晓的13种数据工具
03-02
对SQL支持并不是Hadoop最核心的技术理念,但这一特性确实能帮助很多传统企业,尤其是已经明白下一代分析的重要性但又不想迈向MapReduce的企业,迅速走向大数据分析。为此,本文特别列举了13种从Hadoop内部可以运行...
Hadoop或hive用户名和本地主机用户名不一样,不能读写
z1987865446的博客
11-17 3216
解决Hadoop集群用户名和程序运行主机用户名不一样不能读写,配置了HADOOP_USER_NAME不生效的问题。
Hadoop KMS环境安装
wangleigiser的博客
12-29 706
Hadoop KMS环境安装
前后端分离项目SpringBoot-Shiro-jwt处理401响应码的方案
h363659487的博客
06-06 1970
前后端分离项目SpringBoot-Shiro-jwt处理401响应码的方案
hadoop元数据合并过程_Hadoop元数据合并异常及解决方法
weixin_39639600的博客
12-22 340
这几天观察了一下Standby NN上面的日志,发现每次Fsimage合并完之后,Standby NN通知ActiveNN来下载合并好的Fsimage的过程中会出现以下的异常信息:2014-04-23 14:42:54,964 ERROR org.apache.hadoop.hdfs.server.namenode.ha.StandbyCheckpointer: Exception in doCh...
Hadoop集群namenode(standby),异常挂掉问题
mnasd的博客
12-11 4484
2月22号,发现namenode02服务器的namenode(standby)节点挂掉,查看hadoop日志/app/hadoop/logs/hadoop-appadm-namenode-prd-bldb-hdp-name02.log 发现2018-02-17 03:29:34,首次报出java.lang.OutOfMemoryError的ERROR,具体报错信息如下   2018-02...
Hadoop_3.X.x 注意事项
热门推荐
底层码农
03-31 1万+
hadoop3 hdfs web端口改为9870 <property> <name>dfs.namenode.http-address</name> <value>0.0.0.0:9870</value> <description> The address and the base port where...
【配置/认证】Authentication for Hadoop(3.3.1) HTTP web-consoles : Hadoop的simple认证 不是银弹
hiliang521的博客
08-22 1101
Authentication for Hadoop HTTP web-consoles
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2503
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
Http 401错误重现实验及解决办法
web开发
10-06 1万+
根据http协议对状态码的定义,401代表未经授权的访问。在IIS中在401的基础上定义了一系列的子状态码来代表各种不同情况下未经授权访问的具体原因。 401.1 - Logon failed. -登陆失败 401.2 - Logon failed due to server configuration.-基于服务器配置的登陆失败 401.3 - Unauthorized due to AC...
{"message":"鉴权失败,header异常","status":401}
最新发布
09-06
根据提供的引用内容,{"message":"鉴权失败,header异常","status":401}的问题可能是由于hadoop 3.3.1内部通讯权限问题导致的。具体的错误信息是"failed with status code 401 Response message: Authentication required"。 根据引用的内容,这个问题可能是因为设置了web console的simple认证,但请求的URL没有添加"user.name=xxx"参数导致的401错误。 引用中的源码解释了hadoop进行web请求时的鉴权方式。对于simple认证,会检查请求中是否包含userName。如果请求中没有userName,但允许匿名访问,则返回匿名访问的token;如果不允许匿名访问,则返回状态码403。如果请求中包含userName,则返回相应的认证token。 综上所述,{"message":"鉴权失败,header异常","status":401}的问题可能是由于hadoop的鉴权机制导致的,可能缺少必要的认证信息或认证参数。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【分析思路hadoop 3.3.1 bug修复failed with status code 401 Response message: Authentication ...](https://blog.csdn.net/hiliang521/article/details/126709611)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

roman_日积跬步-终至千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值