Hive在SQL标准权限模式下创建UDF失败的问题排查

最新推荐文章于 2024-07-11 11:09:27 发布
最新推荐文章于 2024-07-11 11:09:27 发布
阅读量7.2k 收藏 7
点赞数
分类专栏: 大数据安全 Hive CDH 文章标签: 大数据 hive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20554629/article/details/106369809
版权
在Hive1.1.0与CDH5.16环境下,使用SQLStandardsBasedAuthorization(SSBA)模式时,创建自定义函数(UDF)遇到权限拒绝错误。文章详细分析了问题原因,涉及HDFSURI权限、数据库及函数对象的admin权限需求,最终通过HiveCLI绕过SSBA验证成功部署UDF。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

环境:

CDH 5.16

Hive 1.1.0

已开启Kerberos

Hive 授权使用SQL StandardsBased Authorization模式(以下简称SSBA模式)

症状表现:

在编译好UDF的jar包之后,上传到HDFS目录。

hdfs dfs -mkdir /udf
hdfs dfs -put -f my_udf.jar /udf

以管理员用户hive,进入beeline客户端。


切换到管理员角色,执行:

set role admin;

提示成功切换角色后,执行创建自定义函数语句:

create function default.ch_cnv as 'com.my.hive.udf.ChsUDF' using jar 'hdfs:///udf/my_udf.jar';

创建自定义函数报错,提示对应用在CREATE FUNCTION上的DFS_URI对象没有“管理权限”:

Error: Error while compiling statement:FAILED: HiveAccessControlException Permission denied: Principal [name=hive,type=USER] does not have following privileges for operation CREATEFUNCTION [[ADMINPRIVILEGE] on Object [type=DFS_URI, name=hdfs://nameservice1/udf/my_udf.jar]](state=42000,code=40000)

尝试带temporary创建临时函数,也是报同样的错误:

create temporary function default.ch_cnv as'com.my.hive.udf.ChsUDF' using jar 'hdfs:///udf/my_udf.jar';

分析思路:

在SSBA模式下,执行某一些语句会要求对应的HDFS URI必须为rwx+所有者的权限,非常繁琐(所以从Hive 3.0.0开始,基于SSBA的方式进行授权时,对URI权限要求,进行了大幅度的修改。例如建立外表时,不再要求用户必须是HDFS目录的所有者,只需要拥有rw权限即可)。会不会是这里出了问题?


先查阅官方文档:

https://cwiki.apache.org/confluence/display/Hive/SQL+Standard+Based+Hive+Authorization

在这里插入图片描述
官方文档上清楚的显示CREATE FUNCTION操作是和HDFS URI权限完全无关的。


难道是官方文档写错了???

尝试将jar权限改为777,所属用户和组都修改为hive。

重试create function语句,没有效果,依然报同样的错误。


这条路走不通,那就试试看能不能从别的信息入手。


重新以hive身份进入beeline,不执行set role admin,就以普通的public角色身份,执行create function语句,提示:

Error: Error while compiling statement:FAILED: HiveAccessControlException Permission denied: Principal [name=hive,type=USER] does not have following privileges for operation CREATEFUNCTION [[ADMINPRIVILEGE] on Object [type=DATABASE, name=default], [ADMIN PRIVILEGE] on Object[type=DFS_URI, name=hdfs://nameservice1/udf/my_udf.jar], [ADMIN PRIVILEGE] onObject [type=FUNCTION, name=default.ch_cnv]](state=42000, code=40000)

这时可以看到,对于执行create function,要求了三个权限:

1、 数据库的admin权限
2、 HDFS URI的admin权限
3、 函数对象的admin权限


其中1和3与官方文档的描述是完全一致的。而我们set role admin之后,1和3都被满足。只有2却依然不满足,这说明并不是我们的管理员角色配置,或是管理员角色切换出现了问题。


那只剩下一种可能性,Hive的这个功能有BUG…


搜索的时候,发现了一名网友遇到了同样的问题:

同样的问题

http://lxw1234.com/archives/2016/01/600.htm


虽然并没有人解答这个问题,但至少说明这并非奇特的个案。


来到Apache的官方JIRA,进行搜索。果然有相关的BUG报告:

HIVE-11175

https://issues.apache.org/jira/browse/HIVE-11175


从描述和提交的补丁来看,是Hive在SSBA模式下进行create function的语义分析时,错误的将一个输入型资源(UDF的JAR包),当作了输出型资源。要求对该路径施加写的管理员权限(实际应当为要求读的权限),一个已经存在的输入型资源是只读的,于是导致永远卡死在这个验证上。

解决方法:

由于已经对Hive集群实施了SSBA模式,所以我们肯定是不可能为了装载一个UDF函数,就去临时将集群的验证关闭的。彻底关闭会有一段时间暴漏在安全风险中,并且还需要重启服务,临时关闭需要重启一次,开启又要重启一次,这会非常麻烦。


另外一种方式就是去应用前面社区中提交的补丁到源码重新编译,然后替换有问题的JAR包。这个补丁目前还没被集成到Hive的主线中,这么做存在一定风险。而且目前这个集群是客户购买的商业版的CDH,也不太建议自己去弄。


怎么办?这个时候就要请最老旧的Hive CLI上场了!


Hive CLI正是由于不兼容完备的授权模式(Sentry/Ranger/SSBA),可以绕过这些安全限制,所以被官方用beeline给代替了,只在Hive3之前的版本,作为一个兼容性功能保留。


所以一旦开启了Hive授权,都是建议对普通用户禁用Hive CLI的(除非你有Spark多租户的需求,否则都会进行下面的HMS代理禁用)。最常见的禁用手段,就是通过配置Hive的hadoop.proxyuser.hive.groups(Hive Metastore 访问控制和代理用户组覆盖),指定值由 * 改为具体的管理员组,使得普通用户就算进入Hive CLI,也无法操作,但是管理员组用户依然可以进入Hive CLI操作。


所以我们可以使用hive管理员用户,直接进入Hive CLI,绕过SSBA的验证过程,来创建UDF函数:

kinit -k -t hive.keytab hive@XXX.COM
hive

进入Hive CLI后,执行:

create function default.ch_cnv as 'com.my.hive.udf.ChsUDF' using jar 'hdfs:///udf/my_udf.jar';

提示创建成功!

切换到beeline,试用带UDF函数的HQL语句,没有问题。搞定!
Hive开发UDF时遇到:执行创建临时函数与开发好的java class关联出现问题:Unsupported major.minor version 52.0
weixin_41488213的博客
03-21 1110
JDK版本导致Unsupported major.minor version 52.0 error 一:问题描述 在Hive开发UDF函数时,将ecslipe下生成的jar包导入hive下出现问题hive>add JAR /home/hadoop/hiveudf.jar; hive>create temporary function getProvince as 'hive...
使用Hive UDF时jar包冲突问题及解决方案
SmallCarrot的博客
04-08 2761
问题背景 使用Hive开发UDFUDF中使用到了com.fasterxml.jackson包中的jackson-databind,版本为2.10.2,pom引用方式如下: <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version&g
Hive3自定义UDF函数报错解决: (class file version 55.0), this version of the Java Runtime only recognizes class
邵奈一的博客
01-12 1177
目前我的Win本地SDK版本是11,集群上的JDK版本是8。Hive3自定义UDF函数。
hive udf函数不生效问题
qq_37189286的博客
12-15 2621
集群环境:CDH5.16.2 问题描述:使用hive cli 在hive创建的了永久的udf函数(当前连接生效,新建连接进入hive cli依然生效),但是当使用hue或者beeline连接,查询方法以及使用时无法找到。 UDF函数简介:一进一出。一般由java语言编写,也可以使用python语言编写。hive中常用来做复杂数据清洗。 UDF函数创建方式: 临时创建: CREATE TEMPORARY FUNCTION function_name As 永久创建 add jar h.
hive创建UDF未生效;多个hiveserver2 UDF未同步 问题解决
HFUT_SIAS的博客
08-25 1404
hive创建UDF未生效;多个hiveserver2 UDF未同步 问题解决。
ambari hive创建udf失败问题解决
LZX的博客
06-02 2093
问题描述: Amabri 2.7.4 hive 3.1.0 hive Authorization用了默认 ,试过sqlstdauth也报错 hive执行添加udf命令报错 Error: Error while compiling statement:FAILED: HiveAccessControlException Permission denied: Principal [name=root,type=USER] does not have following privileges for opera
Spark用HiveUDF get_json_object内存泄漏问题
Deegue
11-17 928
1、问题背景 首先我们支持Spark使用HiveUDF的实现,在某个任务中,executor GC时间普遍非常长,而Hive同样逻辑就没有问题。 选取GC过长的一个executor,dump下内存,发现UDFJson对象非常大: 于是推测其中存在内存泄漏。 2、问题排查 本文代码为社区Spark master分支a834dba120 在解析SQL时我们可以看到注册UDF函数入口 Analyzer.scala: 发现函数注册提供qualifiedName以及不覆盖已注册的函数 SessionCatalog
海豚版本升级之hiveudf函数踩坑
Do it now
09-13 398
这个问题是属于配置问题了,开启kerbros认证后我们直接执行sql加上kerbros认证可以执行,加上UDF函数后提示认证不通过,初次排查是因为执行引擎我们集群默认使用的是tez,修改为mr之后就可以执行,再进一步排查是海豚配置文件中的resource.hdfs.fs.defaultFS没有配置为大数据集群的域名导致,配置完重启后,完美解决!可以通过修改代码重新打包代码替换master项目中的对应jar包可以解决此问题
Hive SQL迁移Spark SQL在滴滴的实践
DiDi_Tech的博客
01-25 1655
桔妹导读:在滴滴SQL任务从Hive迁移到Spark后,Spark SQL任务占比提升至85%,任务运行时间节省40%,运行任务需要的计算资源节省21%,内存资源节省49%。在迁移过程中...
如何在 hive udf 中访问配置数据-方案汇总与对比
明哥的IT随笔
06-11 1007
点击上方蓝色“明哥的IT随笔”,关注并选择“设为星标”,keep striving!大家好!我是明哥,前段时间有点忙,有段时间没有更新文章了,抱歉!以后还是会坚持,每周至少一篇的节奏,谢谢...
Hive创建UDTF函数
xxydzyr的博客
09-18 364
Hive创建UDTF函数 文章目录Hive创建UDTF函数参考: 这部分不知道建一个什么样的函数,就照着网上的来了,所以就不写其他东西了 package com.chinasofti.hive.udf; import org.apache.hadoop.hive.ql.exec.UDFArgumentException; import org.apache.hadoop.hive.ql.exec...
Hive自定义加解密udf、udtf函数部分失效问题
weixin_42220968的博客
11-30 855
例如:业务库的手机号、身份证等敏感信息在落入数仓表前都需要进行加密后再进行存储;特定场景下业务人员会再将加密后的敏感信息进行解密后进行分析。会存在加密后数据变为空值,或者解密后数据变为空值的情况。例如:当遇到流量高峰,或者其他异常请求情况,代码逻辑中会返回空值。比如一次性加解密的数据量过大,会产生大量的请求,会存在流量异常的情况,导致返回空值。例如:每天跑批加密的时候,限制一下数据量;为了防止可能还会出现空值,可以进行二次加密,即对于第一步未加密成功的数据再次加密。
linux下 udf提权_ubuntu下mysql5.7用udf提权或getshell踩坑——解决udf无法执行命令
weixin_31499719的博客
01-14 984
网上有很多在mysql中通过udf提权或者getshell的教程,但在我实验过程中遇到了很多阻碍,所以用这篇文章记录下我克服种种困难完成实验的过程实验实验环境ubuntu18.04mysql5.7将secure_file_priv设置为空进入mysql命令行,先执行SHOW VARIABLES LIKE "secure_file_priv";默认为null,就是不能对任意文件夹下的文件进行读写操作...
Dbeaver连接Hive,解决在Dbeaver中sql查询不能使用hive自定义UDF函数的问题
weixin_48833605的博客
07-22 1812
Dbeaver连接Hive,解决在Dbeaver中sql查询不能使用hive自定义UDF函数的问题 一、问题的出现 今天用Dbeaver连接hive,测试一下昨天在hive客户端执行过的几条sqlsql里面有自定义的UDF、UDTF、UDAF等,但是当在Dbeaver里面按下执行按钮后,报错了,说是无效的函数。可是明明在Hive里面注册成永久函数了,也运行过了,怎么在Dbeaver中就无效了呢? 二.解决 1.将在hive命令行执行的创建永久函数语句放到Dbeaver中执行一遍 (1)创建永久函数语句
hive2.x中自定义函数未注册上解决
NeverGiveup54的专栏
08-29 1073
hive自定义函数未生效
hive udaf 用maven打包执行create temporary function 时报错
52Pig的专栏
06-06 1837
用maven打包写好的jar,在放到hive中作临时函数时报错。 错误信息如下: hive> create temporary function maxvalue as "com.leaf.data.Maximum"; java.lang.SecurityException: Invalid signature file digest for Manifest main attribu
Ambari Hive 创建函数无权限
07-11 585
作者:櫰木。
Hive-权限】HiveAccessControlException Permission denied: CREATEFUNCTION
hiliang521的博客
11-17 2659
hive admin权限
Hive中使用自定义UDF
YYDS_emmm的博客
09-05 813
Hive中使用自定义UDF 1. pom.xml文件中增加Hive包的依赖 <dependency> <groupId>org.apache.hive</groupId> <artifactId>hive-exec</artifactId> <version>1.1.0</version> </dependency> 2. Java示例代码如下: package com.utils; import o
hive UDF函数实现
最新发布
03-27
<think>嗯,用户之前已经问过自定义UDF函数,现在又问Hive UDF的实现,可能需要更具体的步骤。首先,我要确定用户的需求是什么。可能他们现在在使用Hive,遇到了需要扩展功能的情况,而内置函数不够用。用户可能是一名数据工程师或者数据分析师,需要处理大数据,用Hive进行数据清洗或复杂计算。 接下来,我需要回顾Hive UDF的不同类型,比如普通UDF、UDAF和UDTF,因为用户可能不清楚这些区别。然后,实现步骤是关键,用户需要具体的代码示例和注册方法。用户可能对Java比较熟悉,因为Hive UDF通常用Java编写,但也要提到其他语言的可能性,比如Python,虽然Hive原生支持可能有限。 然后,注意事项部分很重要,比如性能问题、错误处理、版本兼容性。用户可能在开发过程中会遇到性能瓶颈,或者部署时的依赖问题。另外,测试用例也是用户需要的,他们可能想知道如何验证自己的UDF是否正确。 用户可能还有更深的疑问,比如如何优化UDF的性能,或者如何处理复杂数据类型,比如数组或Map。所以,在回答时要涵盖这些高级用法,并给出示例。同时,要提醒用户优先使用内置函数,避免不必要的UDF带来的维护成本。 最后,确保结构清晰,步骤分解明确,代码示例正确,并且符合用户之前提到的格式要求,比如数学公式用$$包裹,代码块用正确语法高亮。还要检查是否所有行内公式都用了$符号,独立公式单独成段,避免格式错误。需要确认是否涵盖了用户可能的痛点,比如部署步骤、依赖管理,以及实际应用场景,帮助用户更好地理解和应用Hive UDF。</think>好的,我将通过具体步骤介绍Hive UDF的实现方法: --- ### **1. Hive UDF基础原理** Hive UDF通过Java类继承特定父类实现,核心处理逻辑发生在`evaluate()`方法中,其执行流程可表示为: $$ \text{输入数据} \xrightarrow{\text{UDF映射}} \text{处理结果} $$ #### **UDF类型对比** | 类型 | 父类 | 功能特点 | |-----------|---------------------|--------------------| | 普通UDF | `UDF` | 一进一出(单行处理) | | 聚合UDF(UDAF)| `UDAF` | 多进一出(分组聚合) | | 表生成UDF(UDTF)| `GenericUDTF` | 一进多出(行转列) | --- ### **2. 标准开发流程** #### **(1) 创建Java类** ```java // 示例:字符串反转UDF package com.hive.udf; import org.apache.hadoop.hive.ql.exec.UDF; import org.apache.hadoop.io.Text; public class ReverseStringUDF extends UDF { public Text evaluate(Text input) { if (input == null) return null; return new Text(new StringBuilder(input.toString()).reverse().toString()); } } ``` #### **(2) 编译打包** ```bash # 需包含Hive依赖(hive-exec.jar) javac -cp /path/to/hive/lib/* ReverseStringUDF.java jar cf udf.jar com/hive/udf/*.class ``` #### **(3) Hive注册** ```sql -- 上传JAR到HDFS(生产环境推荐) ADD JAR /local/path/udf.jar; -- 创建临时函数 CREATE TEMPORARY FUNCTION reverse_udf AS 'com.hive.udf.ReverseStringUDF'; ``` #### **(4) 调用验证** ```sql SELECT reverse_udf('hello'); -- 输出'olleh' ``` --- ### **3. 高级实现技巧** #### **(1) 多参数处理** ```java // 计算两点间距离 public class DistanceUDF extends UDF { public Double evaluate(Double x1, Double y1, Double x2, Double y2) { return Math.sqrt(Math.pow(x2-x1,2) + Math.pow(y2-y1,2)); } } ``` 调用方式:`SELECT distance_udf(116.40,39.90,121.47,31.23)` #### **(2) 复杂类型处理** 处理`ARRAY`类型: ```java public class ArraySumUDF extends UDF { public Double evaluate(List<Double> arr) { return arr.stream().mapToDouble(Double::doubleValue).sum(); } } ``` #### **(3) 优化技巧** - **缓存重用对象**:避免在`evaluate()`中频繁创建对象 - **类型检查**:增加空值处理逻辑 - **使用Writable类型**:正确使用`Text/IntWritable`等Hadoop类型 --- ### **4. 调试与部署** #### **(1) 单元测试** ```java @Test public void testReverseUDF() { ReverseStringUDF udf = new ReverseStringUDF(); assertEquals("cba", udf.evaluate(new Text("abc")).toString()); } ``` #### **(2) 错误排查** - 查看Hive日志:`tail -f /tmp/{user}/hive.log` - 常见错误码: - `SemanticException [Error 10011]: Invalid function` → 类路径错误 - `ClassNotFoundException` → JAR未正确加载 --- ### **5. 实际应用案例** #### **(1) 数据脱敏** ```java // 手机号中间四位脱敏 public String evaluate(String phone) { return phone.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2"); } ``` #### **(2) JSON解析** ```sql SELECT json_get(info, '$.user.address') FROM log_table; ``` --- ### **6. 注意事项** 1. **性能影响**:UDF会引发MapReduce任务,避免在超大规模数据集逐行调用 2. **版本兼容**:Hive 2.x与3.x的UDF接口存在差异 3. **热部署**:修改UDF后需`RELOAD FUNCTION` 4. **安全限制**:禁止在UDF中执行系统命令 --- **最佳实践建议**: 优先使用Hive内置函数(约300+个),仅在以下场景使用UDF: - 特定业务逻辑(如金融行业计算IRR) - 特殊格式解析(非标准JSON/XML) - 性能敏感型计算(需结合Java本地代码优化)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值