hdfs集群间kerberos互信配置

最新推荐文章于 2023-07-23 08:28:43 发布
最新推荐文章于 2023-07-23 08:28:43 发布
阅读量2.3k 收藏 16
点赞数 1
分类专栏: 大数据 Hadoop 文章标签: hadoop big data kerberos 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snail_bing/article/details/120264129
版权

目录

1.修改hdfs配置

2.配置两个集群的hosts

3.在两个集群中创建相同加密算法的共享principal

4.在两个hdfs集群中增加彼此域中受信任的principal的命名匹配规则

5.修改两个集群所有主机的krb5.conf配置文件

6.重启两个集群的kdc

7.重启两个集群的hdfs集群和yarn集群

8.查看对方hdfs上的文件目录

9.向对方hdfs集群上传文件

10.使用distcp传输数据到对方hdfs集群

1.修改hdfs配置

在两个集群的hdfs-site.xml中添加以下内容:

<property>
	<name>dfs.namenode.rpc-bind-host</name>
	<value>0.0.0.0</value>
	<description></description>
</property>
<property>
	<name>dfs.namenode.servicerpc-bind-host</name>
	<value>0.0.0.0</value>
</property>
<property>
	<name>dfs.namenode.http-bind-host</name>
	<value>0.0.0.0</value>
	<description></description>
</property>
<property>
	<name>dfs.namenode.https-bind-host</name>
	<value>0.0.0.0</value>
	<description></description>
</property>
<property>
	<name>dfs.client.use.datanode.hostname</name>
	<value>true</value>
	<description>Whether clients should use datanode hostnames when connecting to datanodes.
	</description>
</property>
<property>
	<name>dfs.datanode.use.datanode.hostname</name>
	<value>true</value>
	<description>Whether datanodes should use datanode hostnames when connecting to other datanodes for data transfer.</description>
</property>
<property>
	<name>dfs.namenode.kerberos.principal.pattern</name>
	<value>*</value>
	<description></description>
</property>

2.配置两个集群的hosts

由于hadoop集群之间数据迁移是分布式数据传输,要求两个集群的主机都能识别对方集群的主机名,因此需要在两个集群的各个主机的/etc/hosts文件中,都配置两个集群所有主机的ip主机名映射。

3.在两个集群中创建相同加密算法的共享principal

在源集群ZETA_RANGER.COM中:

kadmin.local: addprinc krbtgt/ZETA_RANGER.COM@PANEL.COM
kadmin.local: addprinc krbtgt/PANEL.COM@ZETA_RANGER.COM

在目的集群PANEL.COM中:

kadmin.local: addprinc krbtgt/ZETA_RANGER.COM@PANEL.COM
kadmin.local: addprinc krbtgt/PANEL.COM@ZETA_RANGER.COM

注意:如果两个集群的kdc的默认加密算法不同,需要在addprinc时指定相同的加密算法,如:

kadmin.local: addprinc -e "aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal" krbtgt/ZETA_RANGER.COM@PANEL.COM

验证两个集群中新增后的principal加密算法是否相同:

kadmin.local: getprinc krbtgt/ZETA_RANGER.COM@PANEL.COM
kadmin.local: getprinc krbtgt/PANEL.COM@ZETA_RANGER.COM

4.在两个hdfs集群中增加彼此域中受信任的principal的命名匹配规则

在core-site.xml中通过hadoop.security.auth_to_local配置项增加受信任的kdc域的principal命名匹配规则,即让源集群和目的集群都信任对方的principal,增加如下内容:

RULE:[2:$1@$0]([ndj]n/.*@PANEL.COM)s/.*/hdfs/
RULE:[2:$1@$0](hdfs/.*@PANEL.COM)s/.*/hdfs/
RULE:[2:$1@$0](hive/.*@PANEL.COM)s/.*/hive/
RULE:[2:$1@$0]([ndj]n@PANEL.COM)s/.*/hdfs/
RULE:[2:$1@$0](hdfs@PANEL.COM)s/.*/hdfs/
RULE:[2:$1@$0](hive@PANEL.COM)s/.*/hive/
RULE:[2:$1@$0]([nd]n@ZETA_RANGER.COM)s/.*/hdfs/
RULE:[2:$1@$0](hive@ZETA_RANGER.COM)s/.*/hive/
RULE:[2:$1@$0]([nd]n/.*@ZETA_RANGER.COM)s/.*/hdfs/
RULE:[2:$1@$0](hive/.*@ZETA_RANGER.COM)s/.*/hive/
RULE:[1:$1@$0](^.*@ZETA_RANGER.COM$)s/^(.*)@ZETA_RANGER.COM$/$1/g
RULE:[2:$1@$0](^.*@ZETA_RANGER.COM$)s/^(.*)@ZETA_RANGER.COM$/$1/g
RULE:[1:$1@$0](^.*@PANEL.COM$)s/^(.*)@PANEL.COM$/$1/g
RULE:[2:$1@$0](^.*@PANEL.COM$)s/^(.*)@PANEL.COM$/$1/g

注意:为了保证对方kdc能够识别并匹配到相应的principal,这里最好将两个集群中我们需要使用到的principal的命名规则都配置上。

5.修改两个集群所有主机的krb5.conf配置文件

在源集群ZETA_RANGER.COM的所有节点的krb5.conf中增加:

[capaths]
    ZETA_RANGER.COM = {
        PANEL.COM = .
    }

在目的集群PANEL.COM的所有节点的krb5.conf中增加:

[capaths]
    PANEL.COM = {
        ZETA_RANGER.COM = .
    }

将[realms]中彼此的域添加到对方的文件中,类似这样:

[realms]
    PANEL.COM = {
        kdc = cd-hadoop3-1
        admin_server = cd-hadoop3-1
    }
    ZETA_RANGER.COM = {
        kdc = sp-dev-1
        admin_server = sp-dev-1
    }

[domain_realm]增加如下配置,让所有的主机都能被对方kdc识别:

[domain_realm]
    .panel.com = PANEL.COM
    panel.com = PANEL.COM
    .zeta_ranger.com = ZETA_RANGER.COM
    zeta_ranger.com = ZETA_RANGER.COM

6.重启两个集群的kdc

service krb5kdc restart
service kadmin restart

7.重启两个集群的hdfs集群和yarn集群

注意: 必须重启yarn,否则提交MR任务会失败

8.查看对方hdfs上的文件目录

hadoop fs -ls hdfs://cd-hadoop3-1:8020

9.向对方hdfs集群上传文件

hadoop fs -put /tmp/test hdfs://cd-hadoop3-1:8020/tmp

10.使用distcp传输数据到对方hdfs集群

hadoop distcp -D ipc.client.fallback-to-simple-auth-allowed=true -m 30 hdfs://sp-dev-2:8020/tmp/test hdfs://cd-hadoop3-1:8020/tmp

注意:distcp实际上是运行的mr任务,如果向yarn提交任务的用户受权限控制,需要保证提交任务的用户有相应的权限。

snail_bing
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Poc-A]KDE配置Kerberos KDC互信
王羲之的之的博客
05-13 150
除了kdc master节点以外。如果其它节点也要使用互信,需要增加。
HDFS_Kerberos
slyang的博客
07-09 588
1 pom.xml &lt;dependencies&gt; &lt;!-- 这里的dependency可以只引用 `hadoop-client`,或者同时引用`hadoop-common`和`hadoop-hdfs` --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.hadoop&lt;/...
Ambari2.7.3+HDP3.1.0配置Kerberos互信
TT-Learning
07-09 1478
文章目录1.Kerberos互信配置前提1.1 配置两个Ambari2.7.3集群Kerberos认证跨域互信1.2 先决条件2.Kerberos互信配置步骤2.1 添加集群节点hosts2.1 向两个集群添加 principal2.2 添加票据名称解析规则2.3 票据名称解析规则测试3.在krb5.conf中配置信任关系3.1 配置capaths3.2 配置realms3.3 配置domain_realm3.4 重启Kerberos服务3.5 修改hdfs-site配置4.测试5.总结 1.Kerbero
集群配置kerberos互信
qq_36864672的博客
02-01 2056
本文档讲述通过配置tdh集群和tos集群某个租户两者guardian互信,用户可以在两个集群登录操作hdfs,运用distcp工具将tdh集群hdfs文件导入到tos租户hdfs。执行 hadoop fs -fs hdfs://192.168.100.104:8020 -ls / 和 hdfs dfs -ls / 是否都没问题。1.测试集群:以开发集群hdfs用户登录,然后分别访问开发集群和本地的hdfs。2.开发集群:以测试集群hd户登录,然后分别访问测试集群和本地的hdfs
用户认证——Kerberos集成Hadoop配置
zhangzhagn_的博客
08-06 3229
Hadoop Kerberos配置
HDFS的安全身份验证
互联网知识分享
07-23 971
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
spark + hadoop 访问 基于Kerberos 安全认证、授权的hdfs集群
dymkkj的专栏
03-16 6656
1.在本地安装kerberos client 组件 yum install krb5-user libpam-krb5 libpam-ccreds auth-client-config yum install krb5-workstation 2.拷贝kerberos 集群的 /etc/krb5.conf 到本地 的 /etc/ (覆盖组件初始化的krb5.conf) 3.拷贝...
hdfs集群数据交换.zip
最新发布
01-04
2. **HDFS Federation**:如果集群存在联邦关系,可以通过调整命名节点(NameNode)的配置,使得不同集群的Namespace可以相互访问,从而实现数据共享。但这需要对HDFS的架构有深入理解,并非所有场景都适用。 ...
hdfs配置kerberos
10-27
"HDFS 配置 Kerberos" 本文档记录了为 HadoopHDFS 配置 Kerberos 的过程,Hadoop 的版本是 2.4.1。Kerberos 是一种常用的身份验证协议,用于提供安全的身份验证机制。在 Hadoop 中,Kerberos 可以用于 HDFS 和 ...
一种跨HDFS集群的文件资源分布式高效存储方法
01-12
针对传统文件资源存储方法存在存储效率低的问题,提出了一种跨HDFS集群的文件资源分布式高效存储方法。依据HDFS集群文件资源特征及存储原理,分析资源分布式存储的逻辑关系,保证文件资源存储环境安全。依据标准...
HadoopHA集群部署、HDFSHA配置、启动与验证教学课件.pptx
06-20
HDFS HA 配置、启动与验证;HDFS HA 配置、启动与验证;任务一 修改core-site.xml配置文件;任务二 修改hdfs-site.xml配置文件(一);任务二 修改hdfs-site.xml配置文件(二);任务二 修改hdfs-site.xml配置文件(三);...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
配置两个Hadoop集群Kerberos认证跨域互信
Mrerlou的博客
06-29 1097
两个Hadoop集群开启Kerberos验证后,集群不能够相互访问,需要实现Kerberos互信,使用Hadoop集群A的客户端访问Hadoop集群B的服务(实质上是使用Kerberos Realm A上的Ticket实现访问Realm B的服务)。先决条件:1)两个集群(IDC.COM和HADOOP.COM)均开启Kerberos认证2)Kerberos的REALM分别...
hadoop集群传输(kerberos、非kerberoskerberos与非kerbers)
大D饲养员
05-29 1632
1、在非kerberos认证的集群中 distcp hdfs://IP:8020/xxx hdfs://IP:8020/xxx/ 2、在kerberos与非kerberos集群配置core-site.xml 需降低安全配置; <property> <name>ipc.client.fallback-to-simple-auth-allowed</name> <value>true</v...
一篇文章彻底掌握 HDFS集群跨版本数据同步工具 hadoop disctp
明哥的IT随笔
11-12 5952
大家好,我是明哥!最近有小伙伴问到 hadoop distcp 的使用,对其中的一些细节和容易踩的坑不是很清楚,所以今天我们来看下 hadoop distcp 的原理,细节和容易踩的坑。1...
配置两个Hadoop集群Kerberos认证跨域互信(两个集群互通)
qq_43688472的博客
02-03 4346
配置两个Hadoop集群Kerberos认证跨域互信 两个Hadoop集群开启Kerberos验证后,集群不能够相互访问,需要实现Kerberos互信,使用Hadoop集群A的客户端访问Hadoop集群B的服务(实质上是使用Kerberos Realm A上的Ticket实现访问Realm B的服务)。 先决条件: 1)两个集群(IDC.COM和HADOOP.COM)均开启Kerberos...
Hadoop 集群同步数据(高可用)-相同版本
weixin_40727028的博客
04-06 1391
Hadoop 集群同步数据(高可用)-相同版本,源集群和目标集群的 NameNode 都是高可用的
大数据技术应用-Hadoop2.0配置文件 core-site、hdfs-site、yarn-site
m0_51679196的博客
09-04 292
配置文件 core-site、hdfs-site、yarn-site
Hadoop_Kerberos配置过程记录
Regan_Hoo的博客
11-20 4481
在KDC上创建kerberos实例①通过root用户,输入kadmin.local进入kerberos命令行,在kerberos数据库中生成实例 addprinc -randkey hadoop/namenode@SILENCE.COM addprinc -randkey hadoop/datanode1@SILENCE.COM addprinc -randkey hadoop/datanode2@
hadoop集群kerberos认证怎么配置客户端
09-14
配置Hadoop集群Kerberos客户端认证,您可以按照以下步骤进行操作: 1. 在Hadoop集群的每个节点上,使用命令"hadoop org.apache.hadoop.security.HadoopKerberosName"来验证Kerberos身份。例如,执行命令"hadoop org.apache.hadoop.security.HadoopKerberosName hdfs/nodea1a141@IDC.COM"来验证hdfs用户的Kerberos身份。 2. 在krb5.conf文件中配置信任关系。可以通过设置capaths来定义信任关系。 3. 如果您的Hadoop集群需要与其他集群进行互操作,即使它们都开启了Kerberos认证,您还需要实现集群互信关系。这可以通过使用一个集群的客户端访问另一个集群的服务来实现。在实际操作中,您需要使用Kerberos Realm A上的Ticket来访问Realm B上的服务。 请注意,这只是配置Hadoop集群Kerberos客户端认证的基本步骤,具体配置可能因您的环境和需求而有所不同。建议您查阅Hadoop官方文档或相关资料以获取更详细的配置指南和示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值