Kderberos之HDP上给Apache HBase配置Kerberos(五)

最新推荐文章于 2024-08-01 16:11:59 发布
最新推荐文章于 2024-08-01 16:11:59 发布
阅读量315 收藏
点赞数
分类专栏: Kerberos 文章标签: hadoop 大数据

在生产环境中保护Apache HBase

HBase是模仿Google BigTable的流行分布式键值存储。 HBase可以支持极快的查找,高写入吞吐量和强大的一致性,使其适用于从用例数据存储(如Facebook消息传递)到分析用例(如Yahoo Flurry)的各种用例。 HBase将数据存储在HDFS上,以提供线性缩放和容错能力。

与HDFS相似,Kerberos集成通过在需要有效SPN进行身份验证的HBase协议中添加基于SASL的身份验证层而起作用。 另外,HBase本身在存储数据时使用Kerberos对HDFS进行身份验证。 HBase支持单元级别的访问控制,提供了非常精细的授权层。

在现有的HDP群集上使用Kerberos安装Apache HBase

您可以在HDP群集上安装启用了Kerberos的Apache HBase。

在你开始之前
•您必须具有启用了Kerberos的可运行HDP群集。
•您必须具有Kerberos管理员访问权限。
请按照以下步骤安装启用了Kerberos的HBase:

程序

1.登录到Ambari。
2.从“操作”菜单中,单击“添加服务”。
3.从服务列表中,选择HBase,然后单击“下一步”。
4.选择安装HBase Master的位置。
5.选择要安装HBase区域服务器的节点。
6.查看配置详细信息,然后根据您的性能调整需求对其进行修改,然后单击“下一步”。
您也可以稍后自定义服务。
7.检查将为HBase部署创建的Kerberos服务主体名称(SPN),然后单击“下一步”。
8.查看配置详细信息,然后单击“部署”。
如果在HDFS上启用Kerberos时未存储Kerberos管理员凭据,则Ambari会提示您输入
凭证再次。
9.输入凭据后,单击“保存”。
10.等待安装完成。
11.查看安装期间遇到的任何错误,然后单击“下一步”。

验证是否为HBase启用了kerberos

请遵循以下步骤来验证是否为Apache HBase启用了kerberos:

程序
1.登录到安装了HBase客户端的Ambari节点。
2.启动HBase Shell。
3.在HBase Master主机上,执行status命令:
在这里插入图片描述

在此示例中,该命令失败并带有堆栈跟踪,因为没有TGT。 因此无法使用Kerberos向HBase进行身份验证。
4.获取票证授予票证(TGT)。
以下示例显示了运行kinit操作时用于创建本地TGT的输入和输出。
在第一个示例中,您首先在命令行上运行“ kinit”,然后运行应用程序。 第二个示例通过密钥表自动获取TGT。
安全客户端的示例1:

package com.hortonworks.hbase.examples;
import java.io.IOException;
import java.util.Objects;

import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.hbase.HBaseConfiguration;
import org.apache.hadoop.hbase.TableName;
import org.apache.hadoop.hbase.client.Admin;
import org.apache.hadoop.hbase.client.ColumnFamilyDescriptorBuilder;
import org.apache.hadoop.hbase.client.Connection;
import org.apache.hadoop.hbase.client.ConnectionFactory;
import org.apache.hadoop.hbase.client.Get;
import org.apache.hadoop.hbase.client.Put;
import org.apache.hadoop.hbase.client.Result;
import org.apache.hadoop.hbase.client.Table;
import org.apache.hadoop.hbase.client.TableDescriptorBuilder;
import org.apache.hadoop.hbase.util.Bytes;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
 * Write and read data from HBase, expects HBASE_CONF_DIR and
 HADOOP_CONF_DIR on the classpath and a valid Kerberos
 * ticket in a ticket cache (e.g. kinit).
 */
public class ExampleSecureClient implements Runnable {
 private static final Logger LOG =
 LoggerFactory.getLogger(ExampleSecureClient.class);
 private static final TableName TABLE_NAME =
 TableName.valueOf("example_secure_client");
 private static final byte[] CF = Bytes.toBytes("f1");
 private final Configuration conf;
 public ExampleSecureClient(Configuration conf) {
 this.conf = Objects.requireNonNull(conf);
 }
 @Override public void run() {
 try (Connection conn = ConnectionFactory.createConnection(conf)) { 
 writeAndRead(conn, TABLE_NAME, CF);
 LOG.info("Success!");
 } catch (Exception e) {
 LOG.error("Uncaught exception running example", e);
 throw new RuntimeException(e);
 }
 }
 void writeAndRead(Connection conn, TableName tn, byte[] family) throws
 IOException {
 final Admin admin = conn.getAdmin();
 // Delete the table if it already exists
 if (admin.tableExists(tn)) {
 admin.disableTable(tn);
 admin.deleteTable(tn);
 }
 // Create our table
 
 admin.createTable(TableDescriptorBuilder.newBuilder(tn).setColumnFamily(
 ColumnFamilyDescriptorBuilder.of(family)).build());
 final Table table = conn.getTable(tn);
 Put p = new Put(Bytes.toBytes("row1"));
 p.addColumn(family, Bytes.toBytes("q1"), Bytes.toBytes("value"));
 LOG.info("Writing update: row1 -> value");
table.put(p);
 Result r = table.get(new Get(Bytes.toBytes("row1")));
 assert r.size() == 1;
 LOG.info("Read row1: {}", r);
 }
 public static void main(String[] args) {
 final Configuration conf = HBaseConfiguration.create();
 new ExampleSecureClient(conf).run();
 }
}

票证缓存输出示例1:

2018-06-12 13:44:40,144 WARN [main] util.NativeCodeLoader: Unable to load
 native-hadoop library for your platform... using builtin-java classes
 where applicable
2018-06-12 13:44:40,975 INFO [main] zookeeper.ReadOnlyZKClient: Connect
 0x62e136d3 to my.fqdn:2181 with session timeout=90000ms, retries 6, retry
 interval 1000ms, keepAlive=60000ms
2018-06-12 13:44:42,806 INFO [main] client.HBaseAdmin: Started disable of
 example_secure_client
2018-06-12 13:44:44,159 INFO [main] client.HBaseAdmin: Operation:
 DISABLE, Table Name: default:example_secure_client completed
2018-06-12 13:44:44,590 INFO [main] client.HBaseAdmin: Operation: DELETE,
 Table Name: default:example_secure_client completed
2018-06-12 13:44:46,040 INFO [main] client.HBaseAdmin: Operation: CREATE,
 Table Name: default:example_secure_client completed
2018-06-12 13:44:46,041 INFO [main] examples.ExampleSecureClient: Writing
 update: row1 -> value
2018-06-12 13:44:46,183 INFO [main] examples.ExampleSecureClient: Read
 row1: keyvalues={row1/f1:q1/1528825486175/Put/vlen=5/seqid=0}
2018-06-12 13:44:46,183 INFO [main] examples.ExampleSecureClient:
 Success!
2018-06-12 13:44:46,183 INFO [main] client.ConnectionImplementation:
 Closing master protocol: MasterService
2018-06-12 13:44:46,183 INFO [main] zookeeper.ReadOnlyZKClient: Close
 zookeeper connection 0x62e136d3 to my.fqdn:2181
  1. 通过通过principal和keytab登录再次执行status命令。

使用keytab登录的安全客户端的示例2:

package com.hortonworks.hbase.examples;
import java.io.File;
import java.security.PrivilegedAction;
import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.hbase.HBaseConfiguration;
import org.apache.hadoop.security.UserGroupInformation;
public class ExampleSecureClientWithKeytabLogin {
 public static void main(String[] args) throws Exception {
 final Configuration conf = HBaseConfiguration.create();
 final String principal = "myself@EXAMPLE.COM";
 final File keytab = new File("/etc/security/keytabs/myself.keytab");
assert keytab.isFile() : "Provided keytab '" + keytab + "' is not a
 regular file.";
 UserGroupInformation.setConfiguration(conf);
 UserGroupInformation ugi =
 UserGroupInformation.loginUserFromKeytabAndReturnUGI(
 principal, keytab.getAbsolutePath());
 ugi.doAs(new PrivilegedAction<Void>() {
 @Override public Void run() {
 new ExampleSecureClient(conf).run();
 return null;
 }
 });
 }
}

以下示例显示了通过keytab登录产生的输出:

2018-06-12 13:29:23,057 WARN [main] util.NativeCodeLoader: Unable to load
 native-hadoop library for your platform... using builtin-java classes
 where applicable
2018-06-12 13:29:23,574 INFO [main] zookeeper.ReadOnlyZKClient: Connect
 0x192d43ce to my.fqdn:2181 with session timeout=90000ms, retries 6, retry
 interval 1000ms, keepAlive=60000ms
2018-06-12 13:29:29,172 INFO [main] client.HBaseAdmin: Started disable of
 example_secure_client
2018-06-12 13:29:30,456 INFO [main] client.HBaseAdmin: Operation:
 DISABLE, Table Name: default:example_secure_client completed
2018-06-12 13:29:30,702 INFO [main] client.HBaseAdmin: Operation: DELETE,
 Table Name: default:example_secure_client completed
2018-06-12 13:29:33,005 INFO [main] client.HBaseAdmin: Operation: CREATE,
 Table Name: default:example_secure_client completed
2018-06-12 13:29:33,006 INFO [main] examples.ExampleSecureClient: Writing
 update: row1 -> value
2018-06-12 13:29:33,071 INFO [main] examples.ExampleSecureClient: Read
 row1: keyvalues={row1/f1:q1/1528824573066/Put/vlen=5/seqid=0}
2018-06-12 13:29:33,071 INFO [main] examples.ExampleSecureClient:
 Success!
2018-06-12 13:29:33,071 INFO [main] client.ConnectionImplementation:
 Closing master protocol: MasterService
2018-06-12 13:29:33,071 INFO [main] zookeeper.ReadOnlyZKClient: Close
 zookeeper connection 0x192d43ce to my.fqdn:2181

使用Java客户端访问启用Kerberos的HBase群集

您可以使用Java客户端访问启用了Kerberos的HBase群集。

在你开始之前

•启用了Kerberos的HDP群集。
•您正在Java 8,Maven 3和Eclipse开发环境中工作。
•您具有Kerberos KDC的管理员访问权限。
执行以下任务,以使用Java客户端连接到HBase,并对表执行简单的Put操作。

程序

1.“下载配置”
2.“设置客户帐户”
3.“使用Java客户端访问启用Kerberos的HBase群集”

下载配置

请按照以下步骤下载所需的配置:

程序
1.从Ambari,将HBase和HDFS文件提取到conf目录,这将保存所有配置详细信息。
这些文件必须在$ HBASE_CONF_DIR目录下提取,其中$ HBASE_CONF_DIR是用于存储HBase配置文件的目录。 例如,/ etc / hbase / conf。
2.从KDC,从/etc/krb5.con下载krb5.conf文件。 您还可以将配置摘要放置在目录中。

includedir /etc/krb5.conf.d/
 [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 [libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = HWFIELD.COM
 default_ccache_name = KEYRING:persistent:%{uid}
 [realms]
 HWFIELD.COM = {
 kdc = ambud-hdp-3.field.hortonworks.com
 admin_server = ambud-hdp-3.field.hortonworks.com
 }
 [domain_realm]
 .hwfield.com = HWFIELD.COM
 hwfield.com = HWFIELD.COM

设置客户帐号

请按照以下步骤为客户端设置一个kerberos帐户,并向HBase中的该帐户授予权限,因此
您可以创建,读取和写入表。

程序
1.登录到KDC。
2.切换到根目录。
3.运行kadmin.local:

$ sudo kadmin.local
kadmin.local: addprinc myself
WARNING: no policy specified for myself@EXAMPLE.COM; defaulting to no
 policy
Enter password for principal "myself@EXAMPLE.COM":
Re-enter password for principal "myself@EXAMPLE.COM":

Principal "myself@EXAMPLE.COM" created.
kadmin.local: xst -k /etc/security/keytabs/myself.keytab -norandkey
 myself
Entry for principal myself with kvno 1, encryption type aes256-cts-hmacsha1-96 added to keytab
WRFILE:/etc/security/keytabs/myself.keytab.
Entry for principal myself with kvno 1, encryption type aes128-cts-hmacsha1-96 added to keytab
WRFILE:/etc/security/keytabs/myself.keytab.
  1. 将密钥表文件复制到conf目录。
  2. 在HBase中授予权限。 有关更多信息,请参见为访问控制列表(ACL)配置HBase。
klist -k /etc/security/keytabs/hbase.headless.keytab

可选步骤:您应该保护keytab文件安全,以便只有HBase进程才能访问keytab。 这可以通过运行命令来完成。

$>sudo chmod 700 /etc/security/keytabs/hbase.headless.keytab

$ kinit -kt /etc/security/keytabs/hbase.headless.keytab hbase
$ hbase shell
hbase(main):001:0> status
1 active master, 0 backup masters, 4 servers, 1 dead, 1.2500 average load
  1. 向用户授权管理员权限。 您也可以自定义此选项,以限制该帐户的访问权限。 有关更多信息,请参见https://hbase.apache.org/0.94/book/ hbase.accesscontrol.configuration.html#d1984e4744
    例子
hbase(main):001:0> grant 'myself', 'C'

创建Java客户端
请按照以下步骤创建Java客户端:

程序

1.启动Eclipse。
2.创建一个简单的Maven项目。
3.添加hbase-client和hadoop-auth依赖项。
客户端使用Hadoop UGI实用程序类使用keytab文件执行Kerberos身份验证。 它设置了上下文,以便所有操作都在hbase-user2安全上下文下执行。 然后,它执行所需的HBase操作,即检查/创建表以及执行放置和获取操作。

<dependencies>
 <dependency>
 <groupId>org.apache.hbase</groupId>
 <artifactId>hbase-client</artifactId>
 <version>${hbase.version}</version>
 <exclusions>
 <exclusion>
 <groupId>org.apache.hadoop</groupId>
 <artifactId>hadoop-aws</artifactId>
 </exclusion>
 </exclusions>
 </dependency>
 <dependency>
 <groupId>org.apache.hadoop</groupId>
 <artifactId>hadoop-auth</artifactId>
 <version>${hadoop.version}</version>
 </dependency>
 <dependency>
 <groupId>org.apache.hadoop</groupId>
 <artifactId>hadoop-common</artifactId>
 <version>${hadoop.version}</version>
 </dependency>
 <dependency>

4.从可以反向DNS解析的节点上执行HBase Java客户端代码。
这是Kerberos身份验证的一部分。 因此,从不与HDP群集共享同一DNS基础结构的计算机上运行它会导致身份验证失败。
5.要验证Kerberos身份验证/ keytab /主体是否确实有效,您还可以从Java执行简单的Kerberos身份验证。 这使您对Java JAAS和Kerberos的工作方式有一些了解。
强烈建议您使用Maven Shade插件或Maven Jar插件将依赖项自动打包到胖客户端JAR中。 您也可以使用Eclipse导出功能,但是不建议在生产代码库中使用此功能。

q_j_c
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ambari2.7.3、HDP部署组件下载地址.txt
05-11
随着大数据技术的发展,Apache Hadoop已成为处理大规模数据集的重要工具之一。Hadoop提供了分布式文件系统(HDFS)、MapReduce计算框架以及一系列的数据处理工具,帮助用户有效地管理和分析大量数据。为了简化Hadoop...
Ambari-2.7.5.0 + HDP-3.1.5 (Centos7和Redhat7版本)的网盘下载地址 ,链接失效可私信
03-10
7. **安全与高可用性**:HDP 和 Ambari 支持 Kerberos 认证和 HA 配置,以确保集群的安全性和稳定性。这可能涉及配置 ZooKeeper Quorum、NameNode 高可用以及ResourceManager HA。 8. **维护与升级**:定期检查 ...
hbase配置kerberos
weixin_30477797的博客
09-20 662
#kerberos配置安装kerberosyum install krb5-libs krb5-server krb5-workstation vim /etc/krb5.conf[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/...
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase(1)
2401_84297035的博客
05-08 965
HBase各个节点创建HBASE_HOME/logs目录,如果该目录不存在需要提前创建,存在即可忽略,该目录为HBase日志目录,需要将该目录权限修改为root:hadoop、访问权限为770,否则hbase用户在启动Hbase集群时没有向该目录写日志权限。以上命令执行之后,在/root目录下会生成zhangsan.keytab文件,将该文件复制到IDEA项目中的resources资源目录中或者本地window固定的某个目录中,该文件用于编写代码时认证kerberos
Ambari2.7.3+HDP3.1.0配置Kerberos互信
TT-Learning
07-09 1497
文章目录1.Kerberos互信配置前提1.1 配置两个Ambari2.7.3集群Kerberos认证跨域互信1.2 先决条件2.Kerberos互信配置步骤2.1 添加集群节点hosts2.1 向两个集群添加 principal2.2 添加票据名称解析规则2.3 票据名称解析规则测试3.在krb5.conf中配置信任关系3.1 配置capaths3.2 配置realms3.3 配置domain_realm3.4 重启Kerberos服务3.5 修改hdfs-site配置4.测试5.总结 1.Kerbero
Kerberos环境下HBase数据迁移
TT-Learning
07-14 390
1.迁移HBase数据 表明:Test:spark_write,采用 export/import 进行数据导出、导入方法。 2.数据导出 HBase 数据导出命令: /usr/hdp/3.0.1.0-187/hbase/bin/hbase \ org.apache.hadoop.hbase.mapreduce.Export \ <table_name> \ # 格式:namespace:table name <output_hdfs_path> \ # HBase数据导出到HDF
Hadoop学习笔记(HDP)-Part.11 安装Kerberos
glisten0317的博客
12-01 1272
服务端,在hdp01上安装客户端,在hdp01-05上安装(可选,后面ambari启用kerberos的时候也会安装)
hadoopkerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 4090
kerberos+ranger+kerberos权限控制
java kerberos hbase_java应用访问开启了kerberos验证的Hbase集群
weixin_35798118的博客
03-04 374
一般情况下,java客户端访问hbase集群,都是指定zk地址和端口后即可与hbase建立连接了,但是如果hbase集群开启了kerberos验证,那么就不能直接建立连接了,需要使用验证实体(principal)和其对应的keytab向hbase集群进行kerberos验证,验证通过后才能建立连接。我创建的是maven项目,pom.xml文件的内容如下:xmlns:xsi="http://www....
hadoop集群安装配置Kerberos(三):hadoop集群配置 kerberos 认证
changlina_1989的博客
01-01 9154
hadoop集群配置kerberos
基于HDP3.1的Kafka对Kerberos的SASL认证
weixin_42687074的博客
11-26 648
前文: 公司使用Ambari2.7平台,需要自己搭测试环境,所以自己研究后,分享给大家。 目录 一、Ambari平台上修改Kafka配置 1、修改协议 2、修改机制 二、创建Kerberos授权用户 0、登录管理者 1、添加用户权限 2、生成keytab文件并拷贝到各个主机 三、配置认证 0、Kerberos客户端认证 1、配置客户端JAAS的Kerb...
Hadoop集群部署Hbase并开启kerberos
笔尖的痕的专栏
09-28 2373
系统: LXC - CentOS6.3 x86_64 Hadoop版本: cdh5.0.1(manmual安装,未安装cloudera-manager相关) 集群现有环境:node*6;jdk1.7.0_55;已安装zookeeper、hdfs(HA)、yarn、historyserver和httpfs并已开启kerberos(kdc部署在cluster的一个节点上)。 所需安装
Ambari-2.7.3.0+HDP-3.1.0.0-Ubuntu安装包-HDP安装包大全
07-16
Apache Ambari是一款由Apache软件基金会开发的管理工具,它为Hadoop和其他大数据技术提供了直观的Web界面,用于集群的部署、管理和监控。Ambari简化了Hadoop环境的复杂性,使得非技术用户也能轻松操作。在这个场景中...
HDP大数据集群安装手册
05-12
HDP是由Hortonworks公司提供的一个全面的开源大数据平台,它包含了Apache Hadoop及其相关的开源项目,如HBase、Hive、YARN、Spark等,旨在提供数据存储、处理、分析和管理的一站式解决方案。 2. **Hadoop生态系统*...
cdh_hdp_training
07-08
HDP则是由Hortonworks公司推出的数据平台,同样包含了Apache Hadoop的组件,例如HadoopHBase、Hive、Zookeeper等,并且加入了其自家开发的Ambari管理工具。Ambari提供了Web界面,用于集群的安装、配置、监控和管理...
Hadoop、Hive、HBase、数据集成、Scala阶段测试
m0_58050808的博客
07-24 1591
ResourceManager 是 YARN 架构中的核心组件之一,负责接收客户端提交的作业(如 MapReduce 任务、Spark 任务等),并为这些作业分配资源(如内存、CPU)以在集群中的 NodeManager 上执行。spark的任务调度流程:driver端,遇到action算子触发任务执行,将任务提交到有向无环图,DAGscheduler中,根据RDD的血缘关系划分划分stage,将RDD中的分区封装成taskset任务,发送到TASKscheduler。
大数据信用查询什么样的平台比较靠谱?
xiaoyikj的博客
08-01 497
随着互联网的发展和普及,大数据技术逐渐应用到各行各业中,其中之一就是信用查询领域,大数据信用查询平台能够为用户提供全面、准确的大数据信用评估,然而,由于市场上出现了许多不同的大数据信用查询平台,我们如何才能选择一个靠谱可信的平台呢?市面上很查询大数据的平台都只有一个单链接,用户查询完成之后,对报告有不清楚的地方,根本没有办法找到专人为其分析,如果一份报告自己看不懂,没有人解答,那么这次的钱就是白花了,而小易大数据平台则是市面上为数不多的提供大数据报告免费解读的平台,深受用户好评。
hive的内部表(MANAGED_TABLE)和外部表(EXTERNAL_TABLE)的区别
最新发布
qq_58462591的博客
08-01 192
外部表:外部表的存储在hdfs中,是我们指定的文件目录,当我们删除数据或者删除分区的时候不会将元数据删除,数据还会在hdfs目录中,我们还可以进行数据挂载。内部表:内部表的存储是在hdfs的默认目录下,当我们删除数据或者删除分区的时候会将元数据删除,数据文件也会被删除。运行指令找到table_type 如果为MANAGED_TABLE,那就是内部表,内部表和外部表的主要区别在于数据的存储方式。如果是EXTERNAL_TABLE,那就是外部表。
CentOS 6.5上Ambari与HDP的部署与配置教程
本文档详细介绍了在CentOS 6.5环境中使用Ambari和HDP进行安装配置的过程。首先,作者强调了该指南主要针对CentOS 6.5环境下的Hadoop分布式处理(HDP)集群部署,适用于其他类似环境但可能存在差异。集群包含四台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值