HDFS加密存储(Ranger集成KMS方式)

最新推荐文章于 2024-08-22 08:56:20 发布
最新推荐文章于 2024-08-22 08:56:20 发布
阅读量3.8k 收藏 6
点赞数
分类专栏: 大数据 文章标签: hadoop hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44530691/article/details/124242082
版权

1、什么是HDFS透明加密?

HDFS Encryption Zone加密空间,即HDFS透明加密,是一种端到端的加密模式,其中的加/解密过程对于客户端来说是完全透明的。数据在客户端读操作的时候被解密,当数据被客户端写的时候被加密,所以HDFS服务端本身并不是一个主要的参与者。形象地说,在HDFS服务端,你看到的只是一堆加密的数据流。

这个功能作用就是保证处于加密空间内的数据不被非法查询,只有经过认证的客户端才能查看解密内容

2、Hadoop Key Management Server (KMS)

Hadoop KMS是一个基于Hadoop KeyProvider API的加密密钥管理服务器。它提供了一个使用REST API通过HTTP进行通信的客户端和服务器组件。客户端是一个KeyProvider实现与KMS交互使用KMS HTTP REST API。KMS及其客户端具有内置的安全性,它们支持HTTP SPNEGO Kerberos身份验证和HTTPS安全传输。KMS是一个Java Jetty网络应用程序。

3、Ranger 集成KMS

1、${rangerhome}/ranger-kms/install.properties设置如下
在这里插入图片描述

2、install/lib中添加commons-lang3-3.4.jar和 commons-compress-1.19.jar (这是因为安装时报了相关jar包缺失的问题,没有包相关异常,不必做这一步)
在这里插入图片描述

3、/opt/beh/core/ranger/ranger-kms/ews/webapp/lib/curator-.jar替换成与${hadoop}/share/hadoop/common/lib中的一致。(这一步同样报了异常才进行,这里报的是curator-.jar包冲突)
4、修改配置文件dbks-site.xml、kms-site.xml及hdfs-site.xml
4.1 dbks-site.xml文件

  <property>
        <name>ranger.ks.jpa.jdbc.password</name>
        <value>123456</value>
    </property>
    <property>
        <name>ranger.ks.jpa.jdbc.url</name>
        <value>jdbc:log4jdbc:mysql://数据库ip:3306/kms_82</value>
    </property>
    <property>
        <name>ranger.ks.jpa.jdbc.user</name>
        <value>root</value>
    </property>

4.2 kms-site.xml文件

 <property>
    <name>hadoop.kms.key.provider.uri</name>
    <value>dbks://http@hadoop01.bonc.com:9292/kms</value>
    <description>
      URI of the backing KeyProvider for the KMS.
    </description>
  </property>
 <property>
    <name>hadoop.kms.authentication.type</name>
    <value>kerberos</value>
    <description>
      Authentication type for the KMS. Can be either &quot;simple&quot;
      or &quot;kerberos&quot;.
    </description>
  </property>

  <property>
    <name>hadoop.kms.authentication.kerberos.keytab</name>
    <value>/opt/beh/metadata/key/hadoop.keytab</value>
    <description>
      Path to the keytab with credentials for the configured Kerberos principal.
    </description>
  </property>

  <property>
    <name>hadoop.kms.authentication.kerberos.principal</name>
    <value>HTTP/hadoop01.bonc.com@BONC.COM</value>
    <description>
      The Kerberos principal to use for the HTTP endpoint.
      The principal must start with 'HTTP/' as per the Kerberos HTTP SPNEGO specification.
    </description>
  </property>

4.3 ${hadoop}/etc/hadoop/core-site.xml配置文件添加以下配置
注:需重启hdfs

<property>
  <name>hadoop.security.key.provider.path</name>
<value>kms://http@hadoop01.bonc.com:9092/kms</value>
  <description>
    The KeyProvider to use when interacting with encryption keys used
    when reading and writing to an encryption zone.
  </description>
</property

5、执行./setup.sh安装ranger-kms.
6、执行ranger-kms start启动ranger-kms
7、添加key
在这里插入图片描述

8、keyadmin用户登录Ranger配置kmsdev服务,保存。
在这里插入图片描述

9、rangeradmin、hadoop、keyadmin用户授权
在这里插入图片描述
若没有rangeradmin用户则添加rangeradmin用户
在这里插入图片描述
10、测试连接
在这里插入图片描述
11、测试HDFS加密
11.1 查看key信息
在这里插入图片描述
11.2 创建空目录(hadoop用户)

hadoop fs -mkdir /jxtest

11.3 创建加密区间

hdfs  crypto -createZone -keyName key -path /jxtest

11.4 查看加密区间内容

hadoop fs -cat  /jxtest/users.txt

此时能正常查看
11.5 剔除hadoop用户
在这里插入图片描述

此时不能正常查看

**

Ranger集成KMS采坑记录

**
1、执行setup.sh安装ranger-kms报jar包缺失问题
解决方案:在/opt/beh/core/ranger/ranger-kms/install/lib中添加commons-compress-1.19.jar和 commons-lang3-3.4.jar包。
2、启动ranger-kms时报NoSuchMethodError
org.apache.curator.framework.api.CreateBuilder.creatingParentsIfNeeded()Lorg/apache/curator/framework/api/ProtectACLCreateModeStatPathAndBytesable
在这里插入图片描述
解决方案:版本冲突导致,8.2版本仓库中curator-*的jar包相关版本如下。
在这里插入图片描述
但是ranger-kms中的curator-*版本如下。
在这里插入图片描述
將ranger-kms中的curator-*的jar包版本統一为4.2.0
3、执行ranger-kms 启动在
/opt/beh/core/ranger/ranger-kms/ews/webapp/WEB-INF/classes/conf/ranger-kms-env-hadoopconfdir.sh文件中报错

export RANGER_HADOOP_CONF_DIR=2022-04-14 17:30:44,912  [E] 'hadoop_conf' not found in /opt/beh/core/ranger/ranger-kms/install.properties file while getting....!!

修改/opt/beh/core/ranger/ranger-kms/install.properties中的下列配置,指定hadoop配置文件目录
在这里插入图片描述
4、在Ranger中测试连接时报以下异常,授予rangeradmin相应权限即可。

org.apache.ranger.plugin.client.HadoopException: {
	"RemoteException" : {
	"message" : "User:rangeradmin not allowed to do 'GET_KEYS'",
	"exception" : "AuthorizationException",
	"javaClassName" : "org.apache.hadoop.security.authorize.AuthorizationException"
	}
}.

keyadmin用户登录ranger设置如下。
在这里插入图片描述

北漂流浪少年
关注
专栏目录
14、HDFS 透明加密KMS
05-29
HDFS 透明加密KMS】是Hadoop分布式文件系统(HDFS)提供的一种安全特性,用于保护存储HDFS中的数据,确保数据在传输和存储时的安全性。HDFS透明加密通过端到端的方式实现了数据的加密和解密,无需修改用户的应用...
Apache Ranger KMS 部署
weixin_42728895的博客
04-01 2948
参考链接: https://blog.csdn.net/lsshlsw/article/details/103930388 https://blog.csdn.net/wank1259162/article/details/122438175 1.背景 需要一个高可用的 KMS 服务用于数据静态加密HDFS 透明加密 / ORC格式列加密),hadoop 原生基于 java keystore 的 KMS 方案在生产环境并不可靠,列了几种可能的方案: 使用内部自建的 KMS ,实现 hadoop provi
Apache Ranger KMS 部署文档
偷闲小苑
01-10 5726
很久没写过部署文档了,不过 Apache Ranger KMS 的手动部署较为繁琐,网上的相关资料基本都是散装的,因此写了一篇进行总结。 文章目录背景安装部署安装 ranger-admin安装 ranger-kmsHDFS 配置Kerberos 配置HA 配置KMS LUNA HSMFAQ后记参考 背景 需要一个高可用的 KMS 服务用于数据静态加密HDFS 透明加密 / ORC格式列加密)...
KMS服务器项目教程
最新发布
gitblog_00719的博客
08-22 503
KMS服务器项目教程 kms-server快速部署的KMS服务项目地址:https://gitcode.com/gh_mirrors/kms/kms-server 项目介绍 KMS服务器项目(Key Management Service)是一个开源项目,旨在提供一个简单易用的密钥管理服务。该项目基于GPL 3.0许可证发布,主要功能包括密钥的生成、存储、分发和管理。KMS服务器可以用于企业内部或...
ranger权限管理、rang kms 秘钥管理、kerberos认证服务整合应用(ambari 平台上安装)...
dingweijson的博客
05-17 2669
一、ranger权限管理安装         ranger安装参考:https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.0/bk_security/content/ch03s01s03s01.html   二、rang kms 秘钥管理安装         ranger kms安装参考:https://docs.hortonwo...
HDFS加密存储(HDP、Ranger、Ranger KMS实现)
暗焰之珩的博客
08-22 1万+
      HDFS加密存储,在CSDN上可以看到很多的前辈整理的博客,但是按照https://blog.csdn.net/linlinv3/article/details/44963429所介绍的那样在我的环境并不能达到预期效果,将自己对hdfs加密的理解和实际操作做一个简单整理。        首先,hdfs加密方式为AES加密,先对AES加密做一个简单了解。 AES算法 对称加密算法...
Hadoop3.1.1结合Ranger1.1.0、Ranger-KMS1.1.0创建加密存储
TT-Learning
08-26 2046
文章目录HDFS加密AES加密算法(对称加密RangerKMS管理HDFS“静态数据”加密HDFS加密概述配置和使用HDFS“静态数据”加密准备环境创建加密密钥创建加密区域上传、下载、读取加密区中文件 HDFS加密 静态加密HDFS数据实现了对HDFS读取和写入数据的端到端加密。端到端加密意味着数据仅由客户端加密和解密。其中的加/解密过程对于客户端来说是完全透明的。数据在客户端读操作的时候被解...
离线数仓-09-基于Ranger进行权限管理
迷雾总会解
06-01 880
主要是介绍了ranger,以及基于ranger进行项目的权限管理。
ranger-2.1.0-hdfs-plugin.tar.gz
08-09
"ranger-2.1.0-hdfs-plugin.tar.gz"是一个包含Ranger HDFS插件的压缩包,用于集成Ranger与HDFS,以实现对HDFS数据的全面安全管理。 Ranger的核心特性包括: 1. **权限管理**:Ranger支持细粒度的权限控制,允许...
ranger-1.2.0-hdfs-plugin.tar.gz
04-21
Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源(如HBase中的具体表)...ranger-1.2.0官方没有编译后的二进制tar包,而且编译的时间有点长,依赖的第三方库多,特意提供linux版本ranger-1.2.0的hdfs插件。
8、HDFS内存存储策略支持和“冷热温”存储
05-29
在大数据处理场景中,为了优化性能和降低成本,HDFS支持了多种存储策略,包括“冷热温”存储策略以及内存存储策略——LAZY PERSIST。 一、HDFS内存存储策略支持 1. LAZY PERSIST介绍 LAZY PERSIST是一种内存存储...
02-HDFS安装部署及静态加密.pdf
06-02
HDFS静态加密区是一种在HDFS上实现静态加密的安全机制,它将数据以加密格式存储,即使数据在HDFS中被复制或备份,也是保持加密状态的。 部署HDFS时,首先需要准备硬件环境,然后通过配置文件指定各种参数,安装和...
Kerberos与Ranger、KMS整合
光于前裕于后的博客
02-07 7813
环境:Ambari-2.4.2、HDP-2.5.3、CentOS 6.5 1.之前用的是HDP2.4,装上Kerberos后Ranger的策略就失效了,KMS对秘钥也无法管理(WEB端),总感觉是因为哪里没配置好,但装装卸卸好多遍还是不行。http://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.3/bk_command-line-upgrade/c
大数据权限管理利器 - Ranger
热门推荐
eyoulc123的博客
03-01 2万+
1. 介绍 Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源(如HBase中的具体表)权限管控、访问监控、数据加密的功能。 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件:Ranger Admin 、Ranger Usersync 与Ranger plugin,它们关系如下: 在Ranger的官网中有对于这三个组件的说明 组件名称 ...
Ranger之对资源策略配置的导入导出(五)
m0_48187193的博客
03-12 794
导入和导出基于资源的策略 您可以在恢复操作期间或将策略从测试集群移动到生产集群时,从Ranger Admin UI(用于集群弹性(备份))导出和导入策略。您可以导出/导入特定的策略子集(例如那些属于特定资源或用户/组的策略),或者通过Ranger Admin UI克隆整个存储库(或多个存储库)。 导出 您可以通过“服务管理器”页面导入、导出策略: 您还可以在“报表”页面导出策略: 导出策略选择 服务管理页面 报表 格式 JSON JSON,Excel,CSV 过滤支持 No yes
Ranger学习笔记
lin_12138的博客
06-17 641
Apache Ranger 是 Hadoop 平台上操作、监控、管理数据安全的集中式安全管理框架。Ranger 的愿景是在 Apache Hadoop 生态系统中提供全面的安全性。 目前,Apache Ranger 支持以下 Apache 项目的细粒度授权和审计: (1)Apache Hadoop (2)Apache Hive (3)Apache HBase (4)Apache Storm (5)Apache Knox (6)Apache Solr (7)Apache Kafka (8)YARN等等Rang
ranger和rangerkms开启https(配置ssl)
github_39319229的博客
10-23 1871
ranger配置 准备好jks秘钥文件和密码,以及文件别名 修改配置文件 # ranger settings ranger.service.http.enabled=false policymgr_external_url=https://RANGER_HOST:6182 # ranger-admin-site ranger.service.https.attrib.ssl.enabled = true ranger.service.https.attrib.keystore.keyalias =
权限管理-Ranger的介绍和使用(集成Hive)
迷雾总会解
06-15 6314
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架。Ranger由此产生!Ranger的官网:https://ranger.apache.org/RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理。
hdfs透明加密测试过程
08-31
HDFS透明加密的测试过程可以按照以下步骤进行: 1. 配置HDFS透明加密:首先,需要在HDFS配置文件中开启透明加密功能。具体的配置方式可以参考HDFS的官方文档或相关资源。 2. 创建加密区域:在加密区域中的文件会被自动加密和解密。可以使用HDFS命令或者相关API来创建加密区域。 3. 写入测试文件:在加密区域中写入测试文件,可以使用HDFS命令或者相关API来完成。写入的文件会被自动加密。 4. 读取测试文件:从加密区域中读取测试文件,可以使用HDFS命令或者相关API来完成。读取的文件会被自动解密。 5. 验证加密效果:可以使用命令行工具或者编程语言来验证测试文件是否被正确加密和解密。可以比较原始文件和解密后的文件的内容是否一致。 需要注意的是,对于HDFS透明加密的测试过程,可以使用HDFS命令行工具或者编程语言中的HDFS API来进行操作。测试时需要确保配置正确,并且要使用加密区域中的文件进行读写操作,以验证文件的加密和解密过程是否正常。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [HDFS 透明加密使用、Keystore和Hadoop KMS加密区域、透明加密关键概念和架构、KMS配置](https://blog.csdn.net/qq_40585384/article/details/121896015)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [HDFS加密存储Ranger集成KMS方式)](https://blog.csdn.net/qq_44530691/article/details/124242082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值