Spark,Kafka针对Kerberos相关配置

已于 2024-04-09 09:30:22 修改
阅读量1.1k 收藏 39
点赞数 38
文章标签: spark kafka 大数据
于 2024-04-09 09:11:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meiguangxin112/article/details/137505855
版权
本文详细解释了如何在Spark任务提交中配置Kerberos认证以连接Kafka,包括principal、keytab的设置,以及在YARN-client模式下的文件上传策略。特别提到了driver和executor之间jaas.conf文件路径的区别。
摘要由CSDN通过智能技术生成

1. 提交任务的命令
spark-submit  
--class <classname> 
--master yarn 
--deploy-mode client 
--executor-memory 2g 
--executor-cores 2 
--driver-memory 2g 
--num-executors 2 
--queue default  
--principal AS-yg@ASD.COM 
--keytab /etc/security/keytabs/hdfs.headless.keytab 
--files "/usr/AS/conf/kafka_client_jaas.conf,/usr/AS/conf/AS.keytab" 
--driver-java-options "-Djava.security.auth.login.config=/usr/AS/conf/kafka_client_jaas.conf" 
--conf "spark.executor.extraJavaOptions=-Djava.security.auth.login.config=./kafka_client_jaas.conf" 
--jars <your jars>,/usr/AS/lib/spark-kafka-0-10-connector-assembly_2.10-1.0.1.jar /usr/AS/lib/AS-core_1.6-2.1.0.jar 
--principal与--keytab这两个参数为spark需要的Kerberos认证信息

--driver-java-options "-Djava.security.auth.login.config=/usr/AS/conf/kafka_client_jaas.conf"为driver连接kafka用到的认证信息
,因此使用本地绝对路径

--conf "spark.executor.extraJavaOptions=-Djava.security.auth.login.config=./kafka_client_jaas.conf"为executor连接kafka用
到的Kerberos认证信息,因此使用container中的相对路径./

jaas文件中定义了principal与keytab,由于我们使用了yarn-client模式,driver需要的文件在本地文件系统,
executor需要的文件需要我们使用--files的方式上传,即--files "/usr/AS/conf/kafka_client_jaas.conf,/usr/AS/conf/AS.keytab"

有的文档中说--files中传keytab文件会与spark本身的--keytab 冲突,其实是因为他们对spark和kafka使用了相同的principal和keytab,
在上述命令中我为了清晰起见,让spark使用了principal AS-yg@ASD.COM,keytab hdfs.headless.keytab,
让spark连接kafka时使用了principal AS/ASD.COM(principal其实是在jaas文件中指定的,3中详细讲jaas文件) keytab AS.keytab,
当spark提交任务时,yarn会将--keytab后面的keytab文件与--files里的文件先后上传,即 hdfs.headless.keytab与AS.keytab均会被上传,
spark与kafka各取所需,即可正常工作。当spark与kafka要使用相同的keytab文件时,比如都用AS.keytab,那么yarn会先后上传两次AS.keytab,
在spark正使用的时候更新了keytab,造成异常退出

因此如果spark与kafka需要使用相同的keytab文件,我们只需要在--files里不要上传keytab即可避免冲突

spark-submit 
--class <classname> 
--master yarn 
--deploy-mode client 
--executor-memory 2g 
--executor-cores 2 
--driver-memory 2g 
--num-executors 2 
--queue default 
--principal AS@ASD.COM 
--keytab /etc/security/keytabs/AS.keytab 
--files "/usr/AS/conf/kafka_client_jaas.conf" 
--driver-java-options "-Djava.security.auth.login.config=/usr/AS/conf/kafka_client_jaas.conf" 
--conf "spark.executor.extraJavaOptions=-Djava.security.auth.login.config=./kafka_client_jaas.conf" 
--jars <your jars>,/usr/AS/lib/spark-kafka-0-10-connector-assembly_2.10-1.0.1.jar /usr/AS/lib/AS-core_1.6-2.1.0.jar 
还有一个问题是本例中drvier和executor使用了相同的kafka_client_jaas.conf,这也会造成一些问题,3中会详细说明
2. 生成keytab和principal
在KDC Server上执行
kadmin -p admin/admin@ASD.COM
生成principal,principal最好使用AS的用户名+domain
addprinc -randkey AS/ASD.COM
生成keytab
ktadd -k /data/AS.keytab AS/ASD.COM
将keytab文件copy到spark driver所在的机器(因为AS默认使用yarn-client模式)
3. 创建spark读取kafka的jaas配置文件
配置文件 kafka_client_jaas.conf样例如下:
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
  useTicketCache=false
  useKeyTab=true
  principal="AS@ASD.COM"
  keyTab="./AS.keytab"
  renewTicket=true
  storeKey=true
  serviceName="AS";
};
其中useTicketCache指从系统的cash中读取credential信息,useKeyTab指从指定的keyTab文件读取credential

principal和keytab用第二步生成的principal与keytab,注意:keytab的路径

如果这个conf文件是给driver读取,则我们要用keytab文件在本地的绝对路径
如果这个conf文件是executor读取,则我们要用keytab文件在container中的相对路径,即./AS.keytab
如果为了方便起见,drvier与executor要使用相同的jaas文件,路径配置为./AS.keytab,我们需要将keytab文件copy到运行spark-submit的当前路径
如果driver和executor要使用不同的jaas文件,则driver的jaas文件中,keytab应为本地绝对路径,executor的jaas文件中,keytab应为相对路径./
 

jasen91
关注
  • 38
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spark 本地连接远程服务器上带有kerberos认证的Hive
主要分享大数据相关的知识,如Spark、Hudi
11-01 4721
前言 因为公司的测试环境带有kerberos,而我经常需要本地连接测试集群上的hive,以进行源码调试。而本地认证远程集群的kerberos,并访问hive,和在服务器上提交Spark程序代码有些不同,所以专门研究了一下 并进行总结。 服务器上 在服务器上提交Spark程序认证kerberos比较简单,有两种方法: 使用kinit 缓存票据 kinit -kt /etc/security/keytabs/hive.service.keytab hive/indata-192-168-44-128.inda
SparkStreaming读kafka写入HDFS(kerberos认证)
lhxsir的博客
07-16 5009
SparkStreaming读kafka写入HDFS pom 访问Kerberos环境下的HBase代码 Spark2Streaming应用实时读取Kafka代码 写入数据到kafka代码 SparkStreaming读kafka写入HDFS 本教程基于CDH5.8.0其它组件版本为:spark2.1.0、kafka0.10.2、HDFS2.6.0 pom ...
SparkStreaming Kafka Kerberos 认证问题
地球人是我哈的博客
05-26 1539
目前在公司开发SparkStreaming 消费kafka数据,因为hadoop集群启用了kerberos认证,走了不少弯路,现在记录一下: 代码使用local模式跑是完全ok的,但是run on yarn 上,一直报错: Exception in thread "main" org.apache.kafka.common.KafkaException: Failed to construct kafka consumer at org.apache.kafka.clients.consumer.Kafk
spark history server配置
leofionn的博客
03-22 356
spark history server的相关属性配置通过修改$SPARK_HOME/conf下的spark-default.conf文件来设定的官方文档地址:http://spark.apache.org/docs/latest/monitoring.html 相关 spark-default.conf 调优参数:属性名称 默认值 含义 sp...
Spark on Yarn 部署模式运行常用参数和认证参数理解
多头注意力探索Now
04-28 1626
spark 提交任务参数说明
Spark On kubernetes连接kerberos认证的hive
im_cheer的博客
05-15 642
Spark通过yarn、kubernetes连接kerberos 认证的Hive
Spark支持kerberos环境下的Kafka、Hbase传输
A Vimer's World
05-14 2512
一、准备环境: 创建Kafka Topic和HBase表 1. 在kerberos环境下创建Kafka Topic 1.1 因为kafka默认使用的协议为PLAINTEXT,在kerberos环境下需要变更其通信协议: 在${KAFKA_HOME}/config/producer.properties和config/consumer.properties下添加 security.pr...
kerberos安全认证
12-29
在IT行业中,Kerberos是实现企业级系统安全的重要工具,尤其在大数据生态系统中,如Spark、Oozie、MapReduce (MR)、Kafka、Hive、HDFS和HBase等组件中都有应用。下面我们将深入探讨Kerberos的原理、工作流程以及如何...
kafka2hbase.zip|kafka2hbase.zip
11-09
KafkaSpark和HBase都提供了相应的安全机制,如SSL加密、Kerberos认证等,需要根据具体需求配置。 9. **优化策略**: 为了提高性能,可能需要对Kafka的分区策略、Spark的并行度、HBase的表设计等进行优化。例如,...
kerberos安全认证demo
11-09
在这个"Kerberos安全认证demo"中,我们可以看到多个组件,如Spark、Oozie、MapReduce(MR)、Kafka、Hive、HDFS和HBase,都已经被配置以支持Kerberos安全认证。下面将详细介绍这些组件如何与Kerberos集成以及它们在...
linux-kafka-2.8.0.zip
06-23
可以配置Kafka和Zookeeper以使用特定的认证机制,如Kerberos。 9. **监控与日志**: Kafka提供JMX接口进行监控,可以使用像JMXTrans或Grafana这样的工具收集指标。日志文件可以帮助调试和故障排查。 10. **Kafka...
spark-3.1.2-bin-hadoop3.2.zip
10-19
结合 Spark 的 Structured Streaming 与 Kafka、Flume 等数据源,可以构建实时数据处理管道,Hadoop 3.2 的优化网络性能对此大有裨益。 7. **性能优化** Spark 3.1.2 包含了许多性能优化,如 Tungsten 编译器、...
spark-sql 操作 hdfs文件,服务器有kerberos安全认证的
小哇
10-30 3162
前提:程序是放在服务器上运行,而非在自己电脑本机环境下运行 1spark-sql 自己写的代码程序,不做任何改动 2 关键是 spark-submit的--keytab,--principal参数 如 spark-submit --keytab /var/lib/hadoop-hdfs/hdfs.keytab --principal hdfs/hdfs@BAIDU.COM --class cn.baidu.service.ApplicationMain ./codeConvert-etl-1.0-...
记一次Spark Kerberos的故障解决
chncaesar的专栏
08-13 7893
有同事反馈,Livy Server启动的所有Spark AM失败。Livy启动的Spark AM默认会enableHiveSupport,且使用$LIVY_HOME/conf/livy.conf的如下配置作为spark.yarn.keytab和spark.yarn.kerberos。 livy.server.launch.kerberos.keytab livy.server.launch.k...
Spark提交 指定 kerberos 认证信息
jast
08-10 7197
spark-submit --principal hdfs/hostname@jast.COM --keytab hdfs-hostname.keytab --jars $(echo lib/*.jar | tr ' ' ',') --class com.jast.test.Test test.jar
spark + hadoop 访问 基于Kerberos 安全认证、授权的hdfs集群
dymkkj的专栏
03-16 6664
1.在本地安装kerberos client 组件 yum install krb5-user libpam-krb5 libpam-ccreds auth-client-config yum install krb5-workstation 2.拷贝kerberos 集群的 /etc/krb5.conf 到本地 的 /etc/ (覆盖组件初始化的krb5.conf) 3.拷贝...
spark shuffle——shuffle管理
weixin_43839095的博客
07-05 997
shuffle系统的入口。ShuffleManager在driver和executor中的sparkEnv中创建。在driver中注册shuffle,在executor中读取和写入数据。registerShuffle:注册shuffle,返回shuffleHandleunregisterShuffle:移除shuffleshuffleBlockResolver:获取shuffleBlockResolver,用于处理shuffle和block之间的关系。
11 个例子讲清spark提交命令参数
最新发布
一个7年大数据开发工程师的碎碎念
07-08 851
Apache Spark 提供了丰富的参数配置选项,以适应不同的部署环境、优化性能和管理资源。这些参数涵盖了从基本的集群设置(如 --master 和 --deploy-mode)到高级的资源分配(如 --executor-memory 和 --num-executors)。Spark 的参数多样性使其能够在各种场景下灵活调整,包括动态资源分配、GPU 支持和自定义日志配置等高级功能。有效的参数调整需要深入了解集群资源、工作负载特性,并遵循最佳实践。
Spark快速大数据分析PDF下载读书分享推荐
编程代码,数据学习开发的日常总结。欢迎关注VX公众号:张飞的猪大数据分享
07-06 245
Spark 快速大数据分析》是一本为 Spark 初学者准备的书,它没有过多深入实现细节,而是更多关注上层用户的具体用法。不过,本书绝不仅仅限于 Spark 的用法,它对 Spark 的核心概念和基本原理也有较为全面的介绍,让读者能够知其然且知其所以然。第2版在第1版的基础上做了大量更新,涵盖Spark 3.0的新特性,并着重展示如何利用机器学习算法执行大数据分析。一直以来,Spark就是大数据分析领域的佼佼者,也已经成为一站式大数据分析引擎的事实标准。
sparkstreaming读写kerberos kafka(yarn client、yarn cluster)
03-16
Spark Streaming可以通过Kerberos认证读写Kafka。在使用YARN时,可以选择使用YARN Client或YARN Cluster模式。 在YARN Client模式下,Spark Streaming应用程序运行在客户端机器上,而不是YARN集群中。因此,需要在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jasen91

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值