Yarn配置kerberos认证

最新推荐文章于 2024-07-11 00:29:13 发布
最新推荐文章于 2024-07-11 00:29:13 发布
阅读量516 收藏
点赞数
文章标签: 大数据 python 操作系统
原文链接:https://my.oschina.net/Yumikio/blog/742623
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1、环境说明

系统环境:

  • 操作系统:centos6.6
  • Hadoop版本:CDH5.5
  • JDK版本:1.7.0_67

集群各节点Yarn的角色规划为:

172.16.57.74   bd-ops-test-74    ResourceManager  NodeManager
172.16.57.75   bd-ops-test-75    ResourceManager  NodeManager
172.16.57.76   bd-ops-test-76    NodeManager JobHistoryServer yarn-proxyserver
172.16.57.77   bd-ops-test-77    NodeManager

2、生成keytab

在 74 节点,即 KDC server 节点上执行下面命令:

cd /var/kerberos/krb5kdc/

kadmin.local -q "addprinc -randkey yarn/bd-ops-test-74@BIGDATA.COM "
kadmin.local -q "addprinc -randkey yarn/bd-ops-test-75@BIGDATA.COM "
kadmin.local -q "addprinc -randkey yarn/bd-ops-test-76@BIGDATA.COM "
kadmin.local -q "addprinc -randkey yarn/bd-ops-test-77@BIGDATA.COM "

kadmin.local -q "addprinc -randkey mapred/bd-ops-test-74@BIGDATA.COM "
kadmin.local -q "addprinc -randkey mapred/bd-ops-test-75@BIGDATA.COM "
kadmin.local -q "addprinc -randkey mapred/bd-ops-test-76@BIGDATA.COM "
kadmin.local -q "addprinc -randkey mapred/bd-ops-test-77@BIGDATA.COM "

kadmin.local -q "xst  -k yarn.keytab  yarn/bd-ops-test-74@BIGDATA.COM"
kadmin.local -q "xst  -k yarn.keytab  yarn/bd-ops-test-75@BIGDATA.COM "
kadmin.local -q "xst  -k yarn.keytab  yarn/bd-ops-test-76@BIGDATA.COM "
kadmin.local -q "xst  -k yarn.keytab  yarn/bd-ops-test-77@BIGDATA.COM "

kadmin.local -q "xst  -k mapred.keytab  mapred/bd-ops-test-74@BIGDATA.COM "
kadmin.local -q "xst  -k mapred.keytab  mapred/bd-ops-test-75@BIGDATA.COM "
kadmin.local -q "xst  -k mapred.keytab  mapred/bd-ops-test-76@BIGDATA.COM "
kadmin.local -q "xst  -k mapred.keytab  mapred/bd-ops-test-77@BIGDATA.COM "

拷贝 yarn.keytab 和 mapred.keytab 文件到其他节点的 /etc/hadoop/conf 目录

scp yarn.keytab mapred.keytab bd-ops-test-xx:/etc/hadoop/conf

并设置权限,在各节点上执行:

# cd /etc/hadoop/conf/;chown yarn:hadoop yarn.keytab;chown mapred:hadoop mapred.keytab ;chmod 400 *.keytab

由于 keytab 相当于有了永久凭证,不需要提供密码(如果修改 kdc 中的 principal 的密码,则该 keytab 就会失效),所以其他用户如果对该文件有读权限,就可以冒充 keytab 中指定的用户身份访问 hadoop,所以 keytab 文件需要确保只对 owner 有读权限(0400)

3. 修改 YARN 配置文件

修改 yarn-site.xml,添加下面配置:

<property>
  <name>yarn.resourcemanager.keytab</name>
  <value>/etc/hadoop/conf/yarn.keytab</value>
</property>
<property>
  <name>yarn.resourcemanager.principal</name> 
  <value>yarn/_HOST@BIGDATA.COM</value>
</property>

<property>
  <name>yarn.nodemanager.keytab</name>
  <value>/etc/hadoop/conf/yarn.keytab</value>
</property>
<property>
  <name>yarn.nodemanager.principal</name> 
  <value>yarn/_HOST@BIGDATA.COM</value>
</property> 
<property>
  <name>yarn.nodemanager.container-executor.class</name>  
  <value>org.apache.hadoop.yarn.server.nodemanager.LinuxContainerExecutor</value>
</property> 
<property>
  <name>yarn.nodemanager.linux-container-executor.group</name>
  <value>yarn</value>
</property>

<property>
   <name>yarn.web-proxy.keytab</name>
   <value>/etc/hadoop/conf/yarn.keytab</value>
</property>

<property>
    <name>yarn.web-proxy.principal</name>
    <value>yarn/_HOST@BIGDATA.COM</value>
</property>

修改 mapred-site.xml,添加如下配置:

<property>
  <name>mapreduce.jobhistory.keytab</name>
  <value>/etc/hadoop/conf/mapred.keytab</value>
</property> 
<property>
  <name>mapreduce.jobhistory.principal</name> 
  <value>mapred/_HOST@BIGDATA.COM</value>
</property>

/etc/hadoop/conf 目录下创建 container-executor.cfg 文件,内容如下:

#configured value of yarn.nodemanager.linux-container-executor.group
yarn.nodemanager.linux-container-executor.group=yarn
#comma separated list of users who can not run applications
banned.users=bin
#Prevent other super-users
min.user.id=0
#comma separated list of system users who CAN run applications
allowed.system.users=root,nobody,impala,hive,hdfs,yarn

设置该文件权限:

# chown root:yarn container-executor.cfg
# chmod 400 container-executor.cfg

# ll container-executor.cfg
-r-------- 1 root yarn 354 11-05 14:14 container-executor.cfg

注意:

  • container-executor.cfg 文件读写权限需设置为 400,所有者为 root:yarn
  • yarn.nodemanager.linux-container-executor.group 要同时配置在 yarn-site.xml 和 container-executor.cfg,且其值需要为运行 NodeManager 的用户所在的组,这里为 yarn。
  • banned.users 不能为空,默认值为 hfds,yarn,mapred,bin
  • min.user.id 默认值为 1000,在有些 centos 系统中,用户最小 id 为500,则需要修改该值
  • 确保 yarn.nodemanager.local-dirsyarn.nodemanager.log-dirs 对应的目录权限为 755

设置 /usr/lib/hadoop-yarn/bin/container-executor 读写权限为 6050 如下:

# chown root:yarn /usr/lib/hadoop-yarn/bin/container-executor
# chmod 6050 /usr/lib/hadoop-yarn/bin/container-executor

# ll /usr/lib/hadoop-yarn/bin/container-executor
---Sr-s--- 1 root yarn 333 11-04 19:11 container-executor

测试是否配置正确:

# /usr/lib/hadoop-yarn/bin/container-executor --checksetup

如果提示错误,则查看 NodeManger 的日志,然后对照 YARN ONLY: Container-executor Error Codes 查看错误对应的问题说明。

关于 LinuxContainerExecutor 的详细说明,可以参考 http://hadoop.apache.org/docs/r2.5.0/hadoop-project-dist/hadoop-common/SecureMode.html#LinuxContainerExecutor

记住将修改的上面文件同步到其他节点,并再次一一检查权限是否正确。

# cd /etc/hadoop/conf/

# scp yarn-site.xml mapred-site.xml container-executor.cfg  bd-ops-test-xx:/etc/hadoop/conf/

# cd /etc/hadoop/conf/; chown root:yarn container-executor.cfg ; chmod 400 container-executor.cfg
# cd /etc/hadoop/conf/; chown root:yarn container-executor.cfg ; chmod 400 container-executor.cfg

4、启动服务

启动 ResourceManager

resourcemanager 是通过 yarn 用户启动的,故在 74,75 上先获取 yarn 用户的 ticket 再启动服务:

$ kinit -k -t /etc/hadoop/conf/yarn.keytab yarn/bd-ops-test-xx@BIGDATA.COM
# service hadoop-yarn-resourcemanager start

然后查看日志,确认是否启动成功。

2016-09-05 13:40:11,190 INFO org.apache.hadoop.yarn.server.resourcemanager.RMAuditLogger: USER=yarn	OPERATION=transitionToActive	TARGET=RMHAProtocolService	RESULT=SUCCESS

启动 NodeManager

resourcemanager 是通过 yarn 用户启动的,故在各节点上先获取 yarn 用户的 ticket 再启动服务:

kinit -k -t /etc/hadoop/conf/yarn.keytab yarn/bd-ops-test-xx@BIGDATA.COM ;service hadoop-yarn-nodemanager start

观察日志成功信息:

2016-09-05 13:50:37,869 INFO org.apache.hadoop.security.UserGroupInformation: Login successful for user yarn/bd-ops-test-76@BIGDATA.COM using keytab file /etc/hadoop/conf/yarn.keytab

启动 MapReduce Job History Server

resourcemanager 是通过 mapred 用户启动的,故在 76节点 上先获取 mapred 用户的 ticket 再启动服务:

$ kinit -k -t /etc/hadoop/conf/mapred.keytab mapred/bd-ops-test-75@BIGDATA.COM
# service hadoop-mapreduce-historyserver start

观察日志成功信息:

16/09/05 13:55:49 INFO security.UserGroupInformation: Login successful for user mapred/bd-ops-test-76@BIGDATA.COM using keytab file /etc/hadoop/conf/mapred.keytab

启动 yarn-proxyserver

# service hadoop-yarn-proxyserver start

观察日志成功信息:

2016-09-05 16:28:24,569 INFO org.apache.hadoop.security.UserGroupInformation: Login successful for user yarn/bd-ops-test-76@BIGDATA.COM using keytab file /etc/hadoop/conf/yarn.keytab

5. 测试

运行一个 mapreduce 的例子:

hadoop jar /usr/lib/hadoop-mapreduce/hadoop-mapreduce-examples.jar pi 10 10000

如果没有报错,则说明配置成功。最后运行的结果为:

Job Finished in 45.007 seconds
Estimated value of Pi is 3.14120000000000000000

 

 

转载于:https://my.oschina.net/Yumikio/blog/742623

weixin_33755554
关注
【Flink】FLink session yarn kerberos认证报错 PortUnreachableException: ICMP Port Unreachable
九师兄
05-01 939
本篇博客是在上一篇博客:【Flink】FLink session yarn kerberos认证报错 KrbException: Cannot locate default realm还没找到原因的时候做的一次尝试。因为项目需要,我们需要对接华为认证yarn集群,运行flink任务,我们的任务分为两种,yarn pre-job模式和flink session模式。我们在配置文件中配置如下# kerberos认证需要的东西提交任务的脚本如下。
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
YARN配置Kerberos认证
weixin_33918114的博客
04-08 2262
关于 Kerberos 的安装和 HDFS 配置 kerberos 认证,请参考HDFS配置kerberos认证。 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角色规划为: 192.168.56.121 cdh1 N...
[ YARN 3.1.x ] 开启Kerberos配置&使用
张伯毅的专栏
03-28 2987
.一 .前言1.1. 环境说明1.2. 服务规划1.3. 安装Kerberos环境1.4. 安装YARN环境二 .安装YARN2.1. 添加用户2.2. 配置YARN相关的Kerberos账户2.2.1. 创建keytab存放目录2.2.2. 配置master01上面运行的服务对应的Kerberos账户2.2.3. 权限设置2.2.4. 编译源码构建Linux-Container-executor2.2.5. 设置 hadoop 需要使用的各个目录的权限2.3. 配置hadoop的 lib/native(
分布式安全--YARN & HDFS2 安装和配置Kerberos
blockish的专栏
03-17 979
设置hadoopsecurity core-site.xml       hadoop.security.authentication      kerberos            hadoop.security.authorization      true      hadoop.secur
yarn web ui 加认证_跟我学 “Linux” 小程序 Web 版开发(一):初始化
weixin_30332165的博客
01-20 220
“Linux” 小程序是 Linux 中国在 2019 年 2 月(恰恰是去年春节)发布的小程序,该小程序采用众包模式,对著名的 TLDR 项目中的 Linux 命令示例进行了翻译,并通过微信小程序的形式展现。在 2020 年的春节,我们面向更多的 PC 端用户,开放了 Web 版的 Linux 命令查询。Web 版和小程序版数据同步,让你在使用桌面计算机时也可以进行命令查询。从今天起,我们将在 ...
ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证
程序猿丶HLK
02-28 5182
注:在配置kerberos认证之前,必须先确保成功安装kerberos集群 安装教程:Centos7安装大数据安全认证组件Kerberos。 一、环境说明 环境说明 系统环境 集群节点分布 名称 版本 IP地址 ...
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 558
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
yarn配置kerberos(十二)
forever19870418的博客
04-06 3605
一、创建认证规则 二、创建Keytab文件 三、部署Kerberos Keytab文件 四、修改YARN配置文件,包括 1)yarn-site.xml 2)mapred-site.xml 3)container-executor.cfg 五、启动服务 六、测试 实施步骤 1、创建认证规则 [root@cdh1 training]# kadmin.local -q "a
Spark on Yarn与Flink on Yarn连接kerberos认证的Hbase
jorondo的博客
03-19 1692
Spark和Flink均为分布式计算引擎,在使用yarn作为资源调度器提交任务并且连接拥有Kerberos认证的Hbase时,同时面临着认证文件分发与获取的问题。两者的解决方案也是类似的,现在driver端加载认证文件,存储到分布式缓存,然后再Executor端获取文件目录进行认证. Spark on Yarn driver端 sparkSession.sparkContext.addFi...
Hadoop YARN ResourceManager 未授权访问getshell
09-23
利用Hadoop YARN ResourceManager 未授权访问getshell工具以及WORD说明
03、Kerberos安全认证配置和访问Kerberos安全认证的Hadoop集群学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1407
03、Kerberos安全认证配置和访问Kerberos安全认证的Hadoop集群学习笔记
解决配置kerberos后,HDFS、YARN的web页面无法访问
不二先生的笔记
09-23 5476
HDFSWebUI浏览器认证 我们设置CDH支持kerberos后会出现下图所示的情况: 这是因为权限问题,按照下面的方式可完美解决 1.浏览器配置(Firefox) 1.打开火狐浏览器,在地址栏输入:about:config,进入设置页面。 2.搜索“network.negotiate-auth.trusted-uris”,修改值为自己的服务器主机名。 3搜索“network.auth.use-sspi”,双击将值变为false。 2安装kfw 1安装提...
浏览器访问kerberos身份验证的配置
人望山丶鱼窥荷的博客
04-07 1009
暂时只支持firefox 输入框about:config, 搜索network.negotiate-auth.trusted-uris 配置值为要访问服务的uri,比如我要访问我部署的livy服务uri为http:0.0.0.0:8998,就配置network.negotiate-auth.trusted-uris值为http:0.0.0.0:8998,多个服务用`,`分割 ...
Hadoop默认配置yarn-default
qq_42417269的博客
09-15 988
hadoop的yarn的默认配置
【原创】大叔经验分享(46)用户提交任务到yarn报错
weixin_30609287的博客
03-30 494
用户提交任务到yarn时有可能遇到下面的错误: 1) Requested user anything is not whitelisted and has id 980,which is below the minimum allowed 1000 这是因为yarn配置min.user.id=1000,yarn认为id小于1000的是超级用户,yarn禁止超级用户提交任务; Ea...
YarnResourceManager详细分析笔记(一)待续
weixin_33877885的博客
07-15 704
一、概述    本文将介绍ResourceManagerYarn中的功能作用,从更细的粒度分析RM内部组成的各个组件功能和他们相互的交互方式。二、ResourceManager的交互协议与基本职能1、ResourceManager交互协议    在整个Yarn框架中主要涉及到7个协议,分别是ApplicationClientProtocol、MRClientProtocol、ContainerM...
Hadoop -YARN ResourceManager 剖析
zzbjut
07-13 9274
Hadoop YARN ResourceManager 内部结构剖析
YarnResourceManager相关三大RPC协议
weixin_34220179的博客
07-23 289
ResourceManager是Hadoop资源管理器Yarn的Master,负责资源的统一管理和调度。它与Yarn中另外三个组件协同工作,共同完成应用程序在Yarn上的资源管理与调度。通过以下这张图我们就可以看出ResourceManager在资源管理和调度中的地位和作用(ps:图片截取自董西成的《Hadoop技术内幕:深入解析YARN...
hive配置kerberos认证
05-24
在 Hive 中启用 Kerberos 认证需要在 Hadoop 和 Hive 中进行相应的配置。以下是一些大致的步骤: 1. 在 Hadoop 的 core-site.xml 中添加以下属性: ``` <property> <name>hadoop.security.authentication</name> <value>kerberos</value> </property> ``` 2. 在 Hadoop 的 hdfs-site.xml 中添加以下属性: ``` <property> <name>dfs.namenode.kerberos.principal</name> <value>hdfs/_HOST@EXAMPLE.COM</value> </property> <property> <name>dfs.datanode.kerberos.principal</name> <value>hdfs/_HOST@EXAMPLE.COM</value> </property> ``` 3. 在 Hadoop 的 yarn-site.xml 中添加以下属性: ``` <property> <name>yarn.resourcemanager.principal</name> <value>yarn/_HOST@EXAMPLE.COM</value> </property> <property> <name>yarn.nodemanager.principal</name> <value>yarn/_HOST@EXAMPLE.COM</value> </property> ``` 4. 在 Hive 的 hive-site.xml 中添加以下属性: ``` <property> <name>hive.metastore.sasl.enabled</name> <value>true</value> </property> <property> <name>hive.metastore.kerberos.keytab.file</name> <value>/path/to/hive.keytab</value> </property> <property> <name>hive.metastore.kerberos.principal</name> <value>hive/_HOST@EXAMPLE.COM</value> </property> ``` 其中,`hive.metastore.kerberos.keytab.file` 指定的是 Hive 的 keytab 文件路径,`hive.metastore.kerberos.principal` 指定的是 Hive 的 principal 名称。 5. 在启动 Hive 的时候,需要使用以下命令来启动 Kerberos 认证: ``` kinit -kt /path/to/hive.keytab hive/_HOST@EXAMPLE.COM ``` 这个命令将会使用指定的 keytab 文件和 principal 来获取 Kerberos 的 ticket。在 ticket 过期之前,你可以使用这个 ticket 来访问 Hive。 以上是 Hive 配置 Kerberos 认证的大致步骤,具体的配置可能因环境不同而有所不同。如果你遇到了问题,可以参考官方文档或者咨询相关的技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值