【大数据】Hadoop-Kms 安装及相关详细配置,看完你就会了

已于 2023-02-21 04:04:27 修改
阅读量1.2k 收藏 3
点赞数 1
分类专栏: Hadoop 服务运维部署 大数据 文章标签: hadoop 大数据 java
于 2023-02-11 20:40:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013412066/article/details/128988776
版权

简介

Hadoop KMS是基于Hadoop的KeyProvider API的加密密钥管理服务器,它提供了使用REST API通过HTTP进行通信的客户端和服务器组件。

客户端是一个KeyProvider实现,使用KMS HTTP REST API与KMS交互。

KMS及其客户端具有内置的安全性,它们支持HTTP SPNEGO Kerberos身份验证和HTTPS安全传输。

KMS是一个Java Jetty web应用程序。

KMS与Hadoop结合,可以实现HDFS客户端透明的数据加密传输以及细粒度的权限控制。

本文使用Hadoop 3.3.1 为例进行KMS服务配置启动及hdfs文件加密传输示例。

安装部署Hadoop KMS

利用keytool生成秘钥
keytool -genkey -alias 'sandbox' -keystore /root/kms.jks -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass 123456 -storepass 123456 -validity 180
将秘钥存储密码放在hadoop配置目录下
cd ${HADOOP_HOME}/etc/hadoop
echo "123456" > kms.keystore.password
配置 kms server端配置 kms-site.xml
<?xml version="1.0" encoding="UTF-8"?>
<!--
  Licensed under the Apache License, Version 2.0 (the "License");
  you may not use this file except in compliance with the License.
  You may obtain a copy of the License at

  http://www.apache.org/licenses/LICENSE-2.0

  Unless required by applicable law or agreed to in writing, software
  distributed under the License is distributed on an "AS IS" BASIS,
  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  See the License for the specific language governing permissions and
  limitations under the License.
-->

<!-- Put site-specific property overrides in this file. -->

<configuration>
  <property>
    <name>hadoop.kms.http.port</name>
    <value>9600</value>
  </property>
  <property>
    <name>hadoop.kms.key.provider.uri</name>
    <value>jceks://file@/${user.home}/kms.keystore</value>
  </property>
  <property>
    <name>hadoop.security.keystore.java-keystore-provider.password-file</name>
    <value>kms.keystore.password</value>
  </property>
  <!-- KMS缓存 -->
  <property>
    <name>hadoop.kms.cache.enable</name>
    <value>true</value>
  </property>
  <property>
    <name>hadoop.kms.cache.timeout.ms</name>
    <value>600000</value>
  </property>
  <property>
    <name>hadoop.kms.current.key.cache.timeout.ms</name>
    <value>30000</value>
  </property>
  <property>
     <name>hadoop.security.kms.encrypted.key.cache.size</name>
     <value>500</value>
   </property>

   <property>
     <name>hadoop.security.kms.encrypted.key.cache.low.watermark</name>
     <value>0.3</value>
   </property>

   <property>
     <name>hadoop.security.kms.encrypted.key.cache.num.fill.threads</name>
     <value>2</value>
   </property>

   <property>
     <name>hadoop.security.kms.encrypted.key.cache.expiry</name>
     <value>43200000</value>
   </property>
  <!-- KMS 聚集Audit 日志 -->
  <property>
    <name>hadoop.kms.aggregation.delay.ms</name>
    <value>10000</value>
  </property>
  <!-- KMS 代理用户配置 -->
  <property>
    <name>hadoop.kms.proxyuser.#USER#.users</name>
    <value>*</value>
  </property>
  <property>
    <name>hadoop.kms.proxyuser.#USER#.groups</name>
    <value>*</value>
  </property>
  <property>
    <name>hadoop.kms.proxyuser.#USER#.hosts</name>
    <value>*</value>
  </property>
  <!-- KMS Delegation Token 配置 -->
  <property>
    <name>hadoop.kms.authentication.delegation-token.update-interval.sec</name>
    <value>86400</value>
    <description>
      How often the master key is rotated, in seconds. Default value 1 day.
    </description>
  </property>
  <property>
    <name>hadoop.kms.authentication.delegation-token.max-lifetime.sec</name>
    <value>604800</value>
    <description>
      Maximum lifetime of a delagation token, in seconds. Default value 7 days.
    </description>
  </property>
  <property>
    <name>hadoop.kms.authentication.delegation-token.renew-interval.sec</name>
    <value>86400</value>
    <description>
      Renewal interval of a delagation token, in seconds. Default value 1 day.
    </description>
  </property>
  <property>
    <name>hadoop.kms.authentication.delegation-token.removal-scan-interval.sec</name>
    <value>3600</value>
    <description>
      Scan interval to remove expired delegation tokens.
    </description>
  </property>
</configuration>
配置 client 端 kms配置,在core-site.xml中添加
<!-- kms -->
  <property>
    <name>hadoop.security.key.provider.path</name>
    <value>kms://http@bp1:9600/kms</value>
  </property>
  <property>
     <name>hadoop.security.kms.client.encrypted.key.cache.size</name>
     <value>500</value>
   </property>
   <property>
     <name>hadoop.security.kms.client.encrypted.key.cache.low-watermark</name>
     <value>0.3</value>
   </property>
   <property>
     <name>hadoop.security.kms.client.encrypted.key.cache.num.refill.threads</name>
     <value>2</value>
   </property>
   <property>
     <name>hadoop.security.kms.client.encrypted.key.cache.expiry</name>
     <value>43200000</value>
   </property>
启动kms
cd ${HADOOP_HOME}
sbin/kms.sh start (遗弃)
sbin/kms.sh status (遗弃)

hadoop --daemon start kms

hadoop --daemon status kms
重启hadoop
cd ${HADOOP_HOME}
sbin/stop-all.sh
sbin/start-all.sh
测试kms
hadoop key create sandbox
hadoop key list

hadoop fs -mkdir /aaaaa
hdfs crypto -createZone -keyName sandbox -path /aaaaa
hdfs crypto -listZones
笑起来贼好看
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
大数据之_Hadoop工作笔记001---Hadoop3.1.2在Centos7上安装_单机版
添柴程序猿的专栏
02-24 3678
技术交流QQ群【JAVA,.NET,BigData,AI】:170933152 安装前: 1.用虚拟机的话,要设置静态ip,设置静态ip看其他博文 2.安装java环境 3.wget 下载hadoop安装包,我下载的最新版 (1)hadoop3.1.2下载 (前提:先安装java环境) 下载地址:http://hadoop.apache.org/releases.html ...
Hadoop集群配置(二)免密登录和集群配置
学而知之@的博客
05-20 1745
写在开头: 难难难道德玄,不对知音不可谈,对了知音谈几句,不对知音枉费舌尖~~ 咱们书接上回,上一篇写了基础环境的配置,这篇就来说硕同样重要的免密登录,当然还有Hadoop集群的配置。 2.1 三台linux服务器环境准备 1. 三台机器IP设置 三台机器修改ip地址: # 对网库进行设置 vi /etc/sysconfig/network-scripts/ifcfg-ens33 # hadoop版本IP设置 BOOTPROTO="static" IPADDR=192.168.32.100 NETMA
hadoop-kms-3.3.0.jar
02-04
Apache Hadoop KMS 部署
wank1259162的博客
01-11 1397
名词解释 DEK: data encryption key EDEKs: encrypted data encryption keys EEK: encrypted encryption keys 介绍 KMShadoop自带的组件,只要安装hadoopKMS相关的东西就都有了,只要简单配置 并启动就可以使用了。 KMS performs three basic responsibilities: Providing access to stored encryption zone
Hadoop KMS环境安装
wangleigiser的博客
12-29 729
Hadoop KMS环境安装
hadoop-KMS密钥管理服务配置使用
shy_snow的专栏
02-23 5103
KMShadoop自2.6.0版本开始自带的一个密钥管理web服务,提供了一系列API来创建,获取和维护密钥。kmshadoop结合,可以实现hdfs客户端数据加密传输以及细粒度的权限控制。 本文使用Hadoop 2.6.0-cdh5.13.3为例进行kms服务配置启动及hdfs文件加密传输示例。 配置kms 密钥仓库的文件位置和操作密码 1. kms-site.xml (一般默认的就可以了不修改也行) <property> <name>hadoop...
HADOOP KMS使用介绍及性能测试
zhuzhenlong的博客
02-19 2583
简介 HDFS 在kms之上实现了透明的端到端加密 常用操作 创建key 查看key 使用key创建加密区 查看加密区 设置kms acl kms使用场景验证 验证一: 加密区文件在hdfs上是否真的加密 验证二: 一个用户创建加密区,另一个用户是否可以写文件进去 验证三: 使用kms,设置加密区之后性能影响多大 方式一: 使用hadoop benchmark的TestDF...
Hadoop知识点整理
wenhui12345的博客
08-21 2567
本文是根据《Hadoop权威指南》的知识点进行归纳整理,基本涵盖hadoop重要的知识点。
Hadoop 从入门到精通----编程不良人笔记
狗剩的专栏
12-16 1312
相关笔记下载地址 ( 很少的费用 带来很多的收获 支持一下自己技术上的进步 支持一下陈兄 ) https://www.baizhiedu.xin/front/index#/main Hadoop 从入门到精通----编程不良人 ( 25 小时 ) https://www.bilibili.com/video/BV17E411g7F2 Hadoop 作者: 陈艳男 微信|电话: 13260426185 一. 引言 1.1 什么是大数据 大数据:(Big Data):数据量级很大的应用处理。TB
hadoop关于hdfs详细解答
dream_river_miss的博客
11-13 1433
一. 课前提示 HDFS内容 大数据的概念及其特征 Hadoop简介及其生态圈 HDFS的内部组件介绍 HDFS的安装模式介绍 独立模式 伪分布式模式 全分布式的搭建 HDFS的常用命令 HDFS的设计思想 HDFS的体系结构 HDFS的工作机制 HDFS的常用API HDFS的数据流 HA的搭建 今日目标 2.1 了解部分 - 大数据的概念、特征、应用领域 - Hadoop出现的原因、发展历史、组成架构、生态圈 - HDFS的fsimage和edit的查看方式 - HDFS的快照管
Hadoop-kms总结
yunduanyou的博客
07-31 7262
一.前言该文档讲述hadoopkms组件的概念以及使用二.概念1). 官方说明: Hadoop KMS是一个基于 Hadoop的 KeyProvider API的用密码写的 key 管理server。Client是一个KeyProvider的实现,使用KMS HTTP REST API与KMS交互。 KMS和它的客户端内置安全和它们支持HTTP SPNEGO Kerberos 身份验证和
hadoopkms结合acl配置
shursulei的博客
05-09 456
最近在配置hadoopkms,网上找了好多文档,最后发现,就是官网和一篇文档写的比较详细。因为差不多,自己就懒得再去写,等有机在做。 http://www.qedev.com/bigdata/732.html https://www.2cto.com/kf/201708/663678.html https://www.itcodemonkey.com/article/5738.html ...
Hadoop KMS 使用
mnasd的博客
09-20 1907
Hadoop KMS配置 以hdfs的单机环境为例说明搭建过程 1. hdfs配置 1) 下载hadoop 2.6以上的版本,解压之后,配置HADOOP_HOME export HADOOP_HOME=/root/hadoop-2.7.4 export PATH=${PATH}:${HADOOP_HOME}/bin 2) 配置core-site.xml与hdfs-site.xml c...
学习笔记-KMS服务器 - 部署配置
最新发布
Richardlygo的博客
12-26 1326
很遗憾,我并没有找到能够测试 KMS服务器是否可用的命令,telnet也不是系统内置的。所以这里我随便找了个基于KMS服务器的破解工具。用他的功能测试KMS服务器是否可以正常使用。好吧,我承认,这么一来,上面一堆操作都废了!如果有合适的方法可以测试,烦请留言告诉我。
KMS配置
weixin_34377919的博客
12-28 418
http://technet.microsoft.com/en-us/library/ff793416.aspx MF2BJ-W69HC-XKKGB-CKBBH-YFMTH 转载于:https://blog.51cto.com/cells/753193
数据安全--KMS
0x00的博客
04-06 9527
kms方案
HDFS 透明加密使用、Keystore和Hadoop KMS、加密区域、透明加密关键概念和架构、KMS配置
qq_40585384的博客
12-13 4322
**HDFS**透明加密(Transparent Encryption)支持端到端的透明加密,启用以后,对于一些需要加密的HDFS目录里的文件可以实现透明的加密和解密,而不需要修改用户的业务代码。端到端是指加密和解密只能通过客户端。对于加密区域里的文件,HDFS保存的即是加密后的文件,文件加密的秘钥也是加密的。让非法用户即使从操作系统层面拷走文件,也是密文,没法查看。
Hadoopkms加密
weixin_30394981的博客
10-08 380
一、目的:保证数据安全 二、简介: Hadoop Key Management Server(KMS)是一个基于HadoopKeyProvider API编写的密钥管理服务器。他提供了一个client和一个server组件,client和server之间基于HTTP协议使用REST API通信。Client是一个KeyProvider的实现,使用KM...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

笑起来贼好看

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值