linux container框架,理解和配置LinuxContainerExecutor

最新推荐文章于 2023-03-13 07:30:00 发布
最新推荐文章于 2023-03-13 07:30:00 发布
阅读量1.1k 收藏 1
点赞数
文章标签: linux container框架

最近在研究如何为Hadoop开启基于Kerberos的安全配置,经过千辛万苦配置好后本以为到了见证奇迹的时刻,但是卡在NodeManger无法启动,折磨的死去活来。经历了各种百度、google后依然无果,最终还是乖乖的回来细读Hadoop官方配置文档,竟然发现关于LinuxContainerExecutor配置的非常详细的讲解。为了不让学习的成果随记忆消散,因此在这儿总结并分享出来。

理解ContainerExector

Hadoop集群启用安全后,NodeManager无法启动的根本原因是LinuxContainerExecutor没有正确配置。ContainerExecutor 被Yarn框架使用,它定义了容器如何装载和控制。在Hadoop YARN中包含两种ContainerExecutor:

DefaultContainerExecutor: 这是默认的执行器,由Yarn用来管理容器执行。在该模式下容器进程使用和NodeManager相同的Unix用户运行容器。

LinuxContainerExecutor: 这个执行器仅在GNU/Linux上支持。在安全状态启用时,这个执行器以提交应用的YARN用户运行容器,在非安全状态时以特定用户执行(默认是nobody)。在安全状态启用时,这个执行器需要所有的用户账户在容器启动的集群节点被创建。它会用到包含在Hadoop部署包中的setuid可执行工具,NodeManager使用这个工具来启动和kill掉容器。为了最大化安全,executor安装限制本地文件和被容器使用目录(如共享对象,jars,中间文件,日志文件等等)的权限和用户/组所属权。特别需要注意的一点,正是因为此,除了应用所有者和NodeManager外,不该有其它用户能访问任何上述本地文件或目录

编译可执行文件

如果你的环境中安装了maven,那可以参照官方帮助中的编译方法:

1mvn package -Dcontainer-executor.conf.dir=/etc/

参数-Dcontainer-executor.conf.dir传入的路径应该是集群节点上放置配置文件的路径,保证setuid可执行文件能定位到。可执行文件应该安装在$HADOOP_YARN_HOME/bin目录下。

为了方便大家使用,我在这里提供编译好的container-executor,配置文件路径指向/etc/container-executor.cfg, container-executor拷贝到Hadoop bin 目录下。

1[root@hadoop01 bin]# cp container-executor /home/hadoop/hadoop-2.8/bin/

分配可执行文件权限

1

2[root@hadoop01 bin]# chown root:hadoop /home/hadoop/hadoop-2.8/bin/container-executor

[root@hadoop01 bin]# chmod 6050 /home/hadoop/hadoop-2.8/bin/container-executor

这里的组hadoop是NodeManager Unix用户(yarn)所属的组,并且组内没有非hadoop相关的用户,以防安全风险。这个组名需要在yarn-site.xml和container-executor.cfg中都配置,

配置yarn-site.xml

1

2

3

4

5

6

7

8

9

10

11

12

yarn.nodemanager.container-executor.class

org.apache.hadoop.yarn.server.nodemanager.LinuxContainerExecutor

yarn.nodemanager.linux-container-executor.path

/home/hadoop/hadoop-2.8/bin/container-executor

yarn.nodemanager.linux-container-executor.group

hadoop

分配本地目录权限

LinuxTaskController还需要在container-executor.cfg中配置的yarn.nodemanager.local-dirs和yarn.nodemanager.log-dirs路径被赋予755权限。设置如下:

1

2

3

4

5

6[root@hadoop01 ~]# mkdir -p /hadoop/yarn/local

[root@hadoop01 ~]# mkdir -p /hadoop/yarn/log

[root@hadoop01 yarn]# chown yarn:hadoop /hadoop/yarn/local

[root@hadoop01 yarn]# chown yarn:hadoop /hadoop/yarn/log

[root@hadoop01 yarn]# chmod 755 /hadoop/yarn/local

[root@hadoop01 yarn]# chmod 755 /hadoop/yarn/log

配置container-executor.cfg文件

为配置文件添加配置项

1

2

3

4

5

6[root@hadoop01 ~]# vim /home/hadoop/hadoop-2.8/etc/hadoop/container-executor.cfg

yarn.nodemanager.local-dirs=/hadoop/yarn/local

yarn.nodemanager.log-dirs=/hadoop/yarn/log

yarn.nodemanager.linux-container-executor.group=hadoop

banned.users=hdfs,yarn,mapred,bin

min.user.id=1000

拷贝配置文件

配置文件container-executor.cfg需要拷贝到之前编译可执行文件中指定的/etc/目录下,以便能被可执行文件访问到。

1[root@hadoop01 ~]# cp /home/hadoop/hadoop-2.8/etc/hadoop/container-executor.cfg /etc/

为配置文件设置权属并分配权限

配置文件目录需要运行在root用户,hadoop组,并且赋予0400权限,配置如下:

1

2[root@hadoop01 ~]# chown root:hadoop /etc/container-executor.cfg

[root@hadoop01 ~]# chmod 400 /etc/container-executor.cfg

必须如此配置,因为可执行程序逻辑会检测这些权限,否则NodeManager会启动失败。

最后,再总结下所有涉及目录的权限和权属分配表,以保证你做对了,任意一项都要严格遵守配置。

Filesystem

Path

User:Group

Permissions

local

container-executor

root:hadoop

--Sr-s--*

local

conf/container-executor.cfg

root:hadoop

r-------*

local

yarn.nodemanager.local-dirs

yarn:hadoop

drwxr-xr-x

local

yarn.nodemanager.log-dirs

yarn:hadoop

drwxr-xr-x

配置文件的坑

经过了上述审慎配置后,检查了无数遍,依然无法运行nodeManager,始终报如下错误:

Caused by: org.apache.hadoop.yarn.server.nodemanager.containermanager.linux.privileged.PrivilegedOperationException: ExitCodeException exitCode=24: Can’t get group information for hadoop - Success.

问题的原因是hadoop编码不够严谨,如果.cfg中group组配置中存在空格,就会始终报检测不到组的错误。这个解决方案借鉴了secfree的博客,文章写的非常赞,完美解决这个问题。

检测错误,运行:

1

2[root@hadoop01 bin]# ./container-executor --checksetup

Can't get group information for hadoop - Success

修复错误:

1

2

3

4

5

6

7

8[root@hadoop02 etc]# chmod 777 container-executor.cfg

[root@hadoop02 etc]# vim container-executor.cfg

yarn.nodemanager.local-dirs=/hadoop/yarn/local

yarn.nodemanager.log-dirs=/hadoop/yarn/log

yarn.nodemanager.linux-container-executor.group=hadoop

banned.users=hdfs,yarn,mapred,bin

min.user.id=1000

[root@hadoop02 etc]# chmod 0400 container-executor.cfg

如果参照上述修改后,发现又有新错误出现,例如:

1

2

3[root@hadoop03 etc]# /home/hadoop/hadoop-2.8/bin/container-executor --checksetup

configuration tokenization failed

Can't get configured value for yarn.nodemanager.linux-container-executor.group.

需要再回头检查.cfg文件的配置,可以通过cat命令检查:

1

2

3

4

5

6

7[root@hadoop03 etc]# cat container-executor.cfg

yarn.nodemanager.local-dirs=/hadoop/yarn/local

yarn.nodemanager.log-dirs=/hadoop/yarn/log

yarn.nodemanager.linux-container-executor.group=hadoop

banned.users=hdfs,yarn,mapred,bin

min.user.id=1000

~

可以看到在.cfg文件的末尾多了一个“~”号,这是导致错误的原因,重新修订.cfg文件,确保最后看到的结果如下:

1

2

3

4

5

6[root@hadoop03 etc]# cat container-executor.cfg

yarn.nodemanager.local-dirs=/hadoop/yarn/local

yarn.nodemanager.log-dirs=/hadoop/yarn/log

yarn.nodemanager.linux-container-executor.group=hadoop

banned.users=hdfs,yarn,mapred,bin

min.user.id=1000

参考资料:

ZW9
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux container
10-27
this doc introduce linux container and its detail technology
hadoop yarn 报错 ERROR org.apache.hadoop.yarn.server.nodemanager.NodeManager: RECEIVED SIGNAL
最新发布
gs80140的专栏
08-24 908
采用如下解决办法 25后面3个0 可以跑到73%才挂, 然后25后面4个0 跑到100%才挂。由于我用的是hadoop 2.7.2版本, 升级到 2.7.3版本尝试一下。现象是job卡住, 进度一直停在20%运行简单的样例程序报错。
hadoop cgroup+container配置
anxia5150的博客
09-22 788
配置container-executor.cfg vim etc/hadoop/container-executor.cfg yarn.nodemanager.linux-container-executor.group=yarn banned.users=root min.user.id=1000 allowed.system.users=yarn 注意:...
【大数据】HADOOP-YARN-ContainerExecutor容器启动器详解
如切如磋,如琢如磨,臻于至善。
03-13 1479
这个执行器仅在GNU/Linux上支持。为了最大化安全,executor安装限制本地文件和被容器使用目录(如共享对象,jars,中间文件,日志文件等等)的权限和用户/组所属权。这里的组hadoop是NodeManager Unix用户(yarn)所属的组,并且组内没有非hadoop相关的用户,以防安全风险。在NodeManager中,会为每个Application,以及每个Container建立一个对应的目录,在每个Container的目录下,就放置了一些运行这个Container必需的信息。
Hadoop3.2.1 【 YARN 】源码分析 : LinuxContainerExecutor 浅析 [ 二 ]
张伯毅的专栏
07-04 1089
111
Hadoop Yarn Linux Container Executor配置
wayblink的博客
07-04 6444
Yarn Linux Container Executor配置概述:Yarn支持两种容器实现方式,一种是yarn容器,一种是Linux容器,Linux容器较比Yarn容器具有更好的扩展性和隔离性。本文将讲述Linux容器的配置。需要配置的文件有三: $HADOOP_HOME/etc/hadoop/yarn-site.xml $HADOOP_HOME/etc/hadoop/container-ex
yarn 一个节点重启不起来
qq_33684569的博客
05-17 894
yarn 一个节点重启不起来 报错如下: 2021-03-17 14:21:36,938 ERROR nodemanager.LinuxContainerExecutor (LinuxContainerExecutor.java:init(323)) - Failed to bootstrap configured resource subsystems! org.apache.hadoop.yarn.server.nodemanager.containermanager.linux.resources.
Hadoop WARN org.apache.hadoop.yarn.server.nodemanager.DefaultContainerExecutor: Exi
流风雨情的博客
03-09 2092
/Users/liuzhiwei/app/hadoop/logs> code yarn-liuzhiwei-nodemanager-lzw-mac.lan.log 2020-03-09 00:22:48,081 WARN org.apache.hadoop.yarn.server.nodemanager.DefaultContainerExecutor: Exit code from co...
Hadoop yarn源码分析(九) Container源码解析 2021SC@SDUSC
LeBron_W的博客
12-05 828
2021SC@SDUSC Hadoop yarn源码分析(九) Container源码解析 2021SC@SDUSC
NodeManager启动错误
热门推荐
潇水汀寒
07-25 1万+
NodeManager 没起来 2013-07-25 20:06:22,266 FATAL org.apache.hadoop.yarn.server.nodemanager.NodeManager: Error starting NodeManager org.apache.hadoop.yarn.YarnException: Failed to Start org.apache.hadoop
详解Linux内核中的container_of函数
09-15
大家都知道Container_of在Linux内核中是一个常用的宏,用于从包含在某个结构中的指针获得结构本身的指针,通俗地讲就是通过结构体变量中某个成员的首地址进而获得整个结构体变量的首地址。这篇文章详细的介绍了...
linux内核中的container_of
01-07
在内核代码中,经常见到container_of函数,它是一个宏定义,定义在include\linux\kernel.h文件中 /** * Container_of - cast a member of a structure out to the containing structure  (将一个结构体的成员包含...
container-linux-update-operator:一个Kubernetes操作员,用于管理CoreOS对Container Linux的更新
02-03
容器Linux Update Operator分为两部分: update-operator和update-agent 。 update-agent在每个节点上作为DaemonSet运行,等待来自update_engine D-Bus发出的UPDATE_STATUS_UPDATED_NEED_REBOOT信号。 它将通过指示...
thinkphp5.1框架中容器(Container)和门面(Facade)的实现方法分析
10-16
主要介绍了thinkphp5.1框架中容器(Container)和门面(Facade)的实现方法,结合实例形式分析了thinkPHP5.1框架中容器与门面的定义、实现方法及相关操作注意事项,需要的朋友可以参考下
Yarn ContainerExecutor 配置与使用
weixin_47143210的博客
05-20 2536
Yarn 的架构中,将集群中的计算资源,主要是内存和 CPU ,封装抽象出了 Container 的概念, 类似于 container_001 <memory:2048, vCores:1>。 Container 由 ResourceManager 负责调度与分配,由资源所在的 NodeManager 负责启动与管理。 Container 所封装的计算资源是由集群中的 NodeManager 提供的,所以 Container 的启动,运行,监控, 管理也需要对应的 NodeManager
Hadoop 3.2.1 【 YARN 】源码分析 : DefaultContainerExecutor 浅析
张伯毅的专栏
02-02 977
一 .前言 DefaultContainerExecuter 类提供通用的container 执行服务. 负责启动Container . 是默认实现, 未提供任何权安全措施, 它以NodeManager启动者的身份启动和停止Container; 流程执行是以独立于平台的方式通过 . 其实主要是执行launch_container.sh 脚本. 主要注意的是两个地方: 其实就是构造并执行launch_container.sh 脚本. 在脚本里有需要执行的任务. launch_container.sh 脚本
hadoop使用LinuxContainerExecutor后使用root用户提交任务报错--源码修改
欲问君有几多愁的博客
09-03 814
问题描述 在hadoop3.2.1的版本中,配置cgroup对yarn的cpu资源进行隔离之后,发现,使用root用户在yarn上提交任务时,无法提交成功,并会报错: Runing as root is not allowed! 最后将这些错误在源码中搜索发现以下内容: /** * Is the user a real user account? * Checks: * 1. Not root * 2. UID is above the minimum configured. * 3
Hadoop3.2.0 源码分析: Container 之 DefaultContainerExecutorLinuxContainerExecutor
张伯毅的专栏
04-22 2705
yarn 里面Container 是可选的.本文介绍以下两种: DefaultContainerExecutor LinuxContainerExecutor配置参数控制: yarn.nodemanager.container-executor.class 有NodeManager初始化的时候,进行加载 org.apache.hadoop.yarn.server.nodema...
yarn的两种ContainerExecutor
a458131857的博客
03-18 632
yarn里面的资源分配器给了两种,分别是:DefaultContainerExecutorLinuxContainerExecutor,这两个都继承ContainerExecutor 区别 DefaultContainerExecutor不会做cpu的分配,只做内存的分配 LinuxContainerExecutor可以做cpu的分配,即采用这种资源分配器才会有提交到yarn的任务才会有c...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值