通过Gateway访问Presto

最新推荐文章于 2024-04-27 10:11:28 发布
最新推荐文章于 2024-04-27 10:11:28 发布
阅读量601 收藏
点赞数
文章标签: 网络 运维 大数据
原文链接:https://yq.aliyun.com/articles/539077
版权

Gateway是与EMR集群处于同一个内网中的ECS服务器,可以使用Gateway实现负载均衡和安全隔离。用户可以通过:控制台页面>配置管理>概览>创建Gateway来创建对应集群的Gateway节点。

NOTE: Gateway节点默认已经安装了HAProxy服务,但没有启动。

普通集群

普通集群配置Gateway代理比较简单,只需要配置HAProxy反向代理,对EMR集群上Header节点的Presto Coodrinator的9090端口实现反向代理即可。配置步骤如下:

配置HAProxy

通过ssh登入Gateway节点,修改HAProxy的配置文件/etc/haproxy/haproxy.cfg。添加如下内容:

#---------------------------------------------------------------------
# Global settings
#---------------------------------------------------------------------
global

......

## 配置代理,将Gateway的9090端口映射到
## emr-header-1.cluster-xxxx的9090端口
listen prestojdbc :9090
    mode tcp
    option tcplog
    balance source
    server presto-coodinator-1 emr-header-1.cluster-xxxx:9090

保存退出,使用如下命令重启HAProxy服务:

$> service haproxy restart

配置安全组

需要配置的规则如下:

方向配置规则说明
公网入自定义TCP,开放9090端口该端口用于HAProxy代理Header节点Coodinator端口

现在就可以通过ECS控制台删除Header节点的公网IP,在自己的客户机上通过Gateway访问Presto服务了。

  • 命令行使用Presto的示例请查看这里:Presto CLI
  • JDBC访问Presto的示例请看这里:Presto JDBC

高安全集群

EMR高安全集群中的Presto服务使用Kerberos服务进行认证,其中Kerberos KDC服务位于emr-header-1上,端口为88,同时支持TCP/UDP协议。 使用Gateway访问高安全集群中的Presto服务,需要同时对Presto Coodinator服务端口和Kerberos KDC实现代理。
另外,EMR Presto Coodinator集群默认使用keystore配置的CN为emr-header-1,只能内网使用,因此需要重新生成CN=emr-header-1.cluster-xxx的keystore。

HTTPs认证相关

创建服务端CN=emr-header-1.cluster-xxx的keystore:

[root@emr-header-1 presto-conf]# keytool -genkey -dname "CN=emr-header-1.cluster-xxx,OU=Alibaba,O=Alibaba,L=HZ, ST=zhejiang, C=CN" -alias server -keyalg RSA -keystore keystore -keypass 81ba14ce6084 -storepass 81ba14ce6084 -validity 36500

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore keystore -destkeystore keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

导出证书:

[root@emr-header-1 presto-conf]# keytool -export -alias server -file server.cer -keystore keystore -storepass 81ba14ce6084
存储在文件 <server.cer> 中的证书

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore keystore -destkeystore keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

制作客户端keystore:

[root@emr-header-1 presto-conf]# keytool -genkey -dname "CN=myhost,OU=Alibaba,O=Alibaba,L=HZ, ST=zhejiang, C=CN" -alias client -keyalg RSA -keystore client.keystore -keypass 123456 -storepass 123456 -validity 36500

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore client.keystore -destkeystore client.keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

将证书导入到客户端keystore中:

[root@emr-header-1 presto-conf]# keytool -import -alias server -keystore client.keystore -file server.cer -storepass 123456
所有者: CN=emr-header-2.cluster-xxx, OU=Alibaba, O=Alibaba, L=HZ, ST=zhejiang, C=CN
发布者: CN=emr-header-2.cluster-xxx, OU=Alibaba, O=Alibaba, L=HZ, ST=zhejiang, C=CN
序列号: 4247108
有效期为 Thu Mar 01 09:11:31 CST 2018 至 Sat Feb 05 09:11:31 CST 2118
证书指纹:
     MD5:  75:2A:AA:40:01:5B:3F:86:8F:9A:DB:B1:85:BD:44:8A
     SHA1: C7:25:B9:AD:5F:FE:FC:05:8E:A0:24:4A:1C:AA:6A:8D:6C:39:28:16
     SHA256: DB:86:69:65:73:D5:C6:E2:98:7C:4A:3B:31:EF:70:80:F0:3C:3B:0C:14:94:37:9F:9C:22:47:EA:7E:1E:DE:8C
签名算法名称: SHA256withRSA
主体公共密钥算法: 2048 位 RSA 密钥
版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 45 1D A9 C7 D5 4E BB CF   BD CE B4 5E E2 16 FB 2F  E....N.....^.../
0010: E9 5D 4A B6                                        .]J.
]
]

是否信任此证书? [否]:  是
证书已添加到密钥库中

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore client.keystore -destkeystore client.keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

将生成的文件拷贝到客户端:

$> scp root@xxx.xxx.xxx.xxx:/etc/ecm/presto-conf/client.keystore ./

Kerberos认证相关

添加客户端用户principal:

[root@emr-header-1 presto-conf]# sh /usr/lib/has-current/bin/hadmin-local.sh /etc/ecm/has-conf -k /etc/ecm/has-conf/admin.keytab
[INFO] conf_dir=/etc/ecm/has-conf
Debug is  true storeKey true useTicketCache false useKeyTab true doNotPrompt true ticketCache is null isInitiator true KeyTab is /etc/ecm/has-conf/admin.keytab refreshKrb5Config is true principal is kadmin/EMR.xxx.COM@EMR.xxx.COM tryFirstPass is false useFirstPass is false storePass is false clearPass is false
Refreshing Kerberos configuration
principal is kadmin/EMR.xxx.COM@EMR.xxx.COM
Will use keytab
Commit Succeeded

Login successful for user: kadmin/EMR.xxx.COM@EMR.xxx.COM
enter "cmd" to see legal commands.
HadminLocalTool.local: addprinc -pw 123456 clientuser
Success to add principal :clientuser
HadminLocalTool.local: ktadd -k /root/clientuser.keytab clientuser
Principal export to keytab file : /root/clientuser.keytab successful .
HadminLocalTool.local: exit

将生成的文件拷贝到客户端:

$> scp root@xxx.xxx.xxx.xxx:/root/clientuser.keytab ./
$> scp root@xxx.xxx.xxx.xxx:/etc/krb5.conf ./

修改拷贝到客户端的krb5.conf文件,修改如下两处:

[libdefaults]
    kdc_realm = EMR.xxx.COM
    default_realm = EMR.xxx.COM
    # 改成1,使客户端使用TCP协议与KDC通信(因为HAProxy不支持UDP协议)
    udp_preference_limit = 1 
    kdc_tcp_port = 88
    kdc_udp_port = 88
    dns_lookup_kdc = false

[realms]
    EMR.xxx.COM = {
        # 设置为Gateway的外网IP
        kdc = xxx.xxx.xxx.xxx:88
    }

修改客户端主机的hosts文件,添加如下内容:

#  gateway ip
xxx.xxx.xxx.xxx emr-header-1.cluster-xxx

配置Gateway HAProxy

通过SSH登入到Gateway节点,修改/etc/haproxy/haproxy.cfg。添加如下内容:

#---------------------------------------------------------------------
# Global settings
#---------------------------------------------------------------------
global

......
listen prestojdbc :7778
    mode tcp
    option tcplog
    balance source
    server presto-coodinator-1 emr-header-1.cluster-xxx:7778

listen kdc :88
    mode tcp
    option tcplog
    balance source
    server emr-kdc emr-header-1:88

保存退出,使用如下命令重启HAProxy服务:

$> service haproxy restart

配置安全组规则

需要配置的规则如下:

方向配置规则说明
公网入自定义UDP,开放88端口该端口用户HAProxy代理Header节点上的KDC
公网入自定义TCP,开放88端口该端口用户HAProxy代理Header节点上的KDC
公网入自定义TCP,开放7778端口该端口用于HAProxy代理Header节点Coodinator端口

现在就可以通过ECS控制台删除Header节点的公网IP,在自己的客户机上通过Gateway访问Presto服务了。

使用JDBC访问Presto示例

废话不说,直接上代码:

try {
    Class.forName("com.facebook.presto.jdbc.PrestoDriver");
} catch(ClassNotFoundException e) {
    LOG.error("Failed to load presto jdbc driver.", e);
    System.exit(-1);
}

Connection connection = null;
Statement statement = null;
try {
    String url = "jdbc:presto://emr-header-1.cluster-59824:7778/hive/default";
    Properties properties = new Properties();
    properties.setProperty("user", "hadoop");
    // https相关配置
    properties.setProperty("SSL", "true");
    properties.setProperty("SSLTrustStorePath", "resources/59824/client.keystore");
    properties.setProperty("SSLTrustStorePassword", "123456");
    // Kerberos相关配置
    properties.setProperty("KerberosRemoteServiceName", "presto");
    properties.setProperty("KerberosPrincipal", "clientuser@EMR.59824.COM");
    properties.setProperty("KerberosConfigPath", "resources/59824/krb5.conf");
    properties.setProperty("KerberosKeytabPath", "resources/59824/clientuser.keytab");
    // 创建连接对象
    connection = DriverManager.getConnection(url, properties);
    // 创建Statement对象
    statement = connection.createStatement();
    // 执行查询
    ResultSet rs = statement.executeQuery("select * from table1");
    // 获取结果
    int columnNum = rs.getMetaData().getColumnCount();
    int rowIndex = 0;
    while (rs.next()) {
        rowIndex++;
        for(int i = 1; i <= columnNum; i++) {
            System.out.println("Row " + rowIndex + ", Column " + i + ": " + rs.getString(i));
        }
    }
} catch(SQLException e) {
    LOG.error("Exception thrown.", e);
} finally {
    // 销毁Statement对象
    if (statement != null) {
        try {
            statement.close();
            } catch(Throwable t) {
              // No-ops
            }
    }
   // 关闭连接
   if (connection != null) {
          try {
           connection.close();
       } catch(Throwable t) {
         // No-ops
       }
    }
}

小结

本文介绍使用HAProxy反向代理实现通过Gateway节点访问Presto服务的方法。该方法也很容扩展到其他组件,如Impala等。

weixin_34038652
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java jdbc访问presto
yy的博客
04-09 732
概述 使用java 从presto获取表信息 presto中有hive连接 查看所有数据库 即presto中的schemas pom <dependencies> <dependency> <groupId>com.facebook.presto</groupId> <artifactId>presto-jdbc</artifactId> ...
Java程序访问Presto
zhangvalue的博客
01-06 1063
./presto --server localhost:8080 --catalog mysql --schema tp_music select * from mysql.tp_music.singer limit 3; pom.xml中引入presto-jdbc <dependency> <groupId>com.facebook.presto</groupId> <artifactId>presto-jdbc</artifactId.
使用presto-gateway在多个presto集群负载
qq_40616823的博客
07-14 1396
prestogateway在多个presto集群负载流量,减轻presto集群压力
presto-gateway:用于prestodb的负载平衡器代理网关
05-03
网关 用于presto计算引擎的负载均衡器/代理/网关。 如何设置开发环境 第1步:设置mysql。 首次设置时,安装docker并运行以下命令: docker run -d -p 3306:3306 --name mysqldb -e MYSQL_ROOT_PASSWORD=root123 -e MYSQL_DATABASE=prestogateway -d mysql:5.7 下次,运行以下命令以启动mysqldb docker start mysqldb 现在打开mysql控制台并安装presto-gateway表: mysql -uroot -proot123 -h127.0.0.1 -Dprestogateway 登录到mysql控制台后,请运行填充表。 步骤2:编辑配置gateway-ha-config.yml 步骤3:将以下程序参数添加到类HaGatewayLau
探索 Presto Gateway:Lyft 的高效大数据查询网关
最新发布
gitblog_00100的博客
04-27 421
探索 Presto Gateway:Lyft 的高效大数据查询网关 项目地址:https://gitcode.com/lyft/presto-gateway 项目简介 Presto Gateway 是 Lyft 开源的一个项目,旨在提供一种更高效、灵活的方式来管理和执行跨多个 Presto 集群的大数据查询。这个项目的目的是解决在大规模分布式环境中,对不同数据源进行复杂查询时的效率和管理问题。 技...
使用jdbc访问presto的样例
weixin_30410119的博客
12-05 445
1.先在pom.xml文件中添加依赖 <dependency> <groupId>com.facebook.presto</groupId> <artifactId>presto-jdbc</artifactId> <version>0.100</version></dependency>...
Lyft Presto Gateway源码机制分析
书忆江南的IT博客
08-30 2457
Presto Gateway支持多个后端Trino集群的激活与停用、增加与删除、负载均衡等,在客户端第一次http请求时可以根据负载均衡选择一个Trino Backend,后续的多个同一查询请求都能找到第一次时发往的那个Trino Backend。............
Gateway_Presto_Windows.zip
05-10
4. **Simba Presto JDBC驱动**: Simba的JDBC驱动程序提供了Java应用程序与Presto之间的桥梁,使得开发人员可以通过标准的JDBC接口访问Presto数据源。这个驱动程序支持认证、SSL加密,并且兼容多种数据库连接模式。 ...
presto客户端
07-20
presto统一数据访问网关,可以通过一个客户端访问不同类型的数据库,支持oracle、mysql、postgresql、hive、hbase等,代码开源,支持自己开发数据库连接器
通过 Dbeaver连接ldaps认证的Presto
03-16
通过DBeaver连接ldaps认证的Presto,网上搜索的文档大都不可用,该文档包含了关键的ssl证书配置及DBeaver连接参数配置,补充了网上搜索文档中配置的遗漏点。
Presto_ODBC.rar
09-10
ODBC是一种标准的数据库访问接口,允许应用程序通过统一的方式与各种数据库系统进行交互。在本压缩包中,用户可以找到适用于不同系统的驱动,以便于在不同的环境下连接到Presto数据库。 首先,我们需要了解Presto。...
presto集群_使用数据获取网关保护和管理多云的Presto集群
weixin_26746861的博客
09-13 492
presto集群 介绍 (Introduction) Data is the lifeblood of Grab and the insights we gain from it drive all the most critical business decisions made by Grabbers and our leaders every day. 数据是Grab的命脉,我们从中获得的见...
presto代理层实现
帆了个帆的专栏
11-22 1397
用过presto的同学都知道,客服端访问presto集群,其实是通过http协议访问presto的coordinator节点;大多数情况是没啥问题;可是服务器直接暴露给用户,或多或少还是有些安全顾虑;所以我们在客户端和presto集群之间加了一层访问代理,如下图所示 所有的用户请求通过代理访问presto集群;过程如下 1.客户端可以使用jdbc,Python等方式访问代理,使用方式和直接访问...
Nginx反向代理GateWay遇到proxy_http_version=1.1
虫二的专栏~~在路上~~~
05-16 1413
Nginx碰到SpringGateway代理,需要设置proxy_http_version 1.1
Presto 原理 & 调优 & 面试 & 实战全面升级版
wr_java的博客
04-18 851
1.特点Presto 引擎相较于其他引擎的特点正如文章标题描述的这样,多源、即席。多源就是它可以支持跨不同数据源的联邦查询,即席即实时计算,将要做的查询任务实时拉取到本地进行现场计算,然后返回计算结果。除此之外,对于引擎本身,它有几个值得关注的特点:多租户:它支持并发执行数百个内存、I/O 以及 CPU 密集型的负载查询,并支持集群规模扩展到上千个节点;联邦查询:它可以由开发者利用开放接口自定义开发针对不同数据源的连接器(Connector),从而支持跨多种不同数据源的联邦数据查询;
Nginx整合Spring cloud gateway转发webSocket请求
xieqj_0511的博客
09-02 6919
Nginx整合Spring cloud gateway转发webSocket请求
Presto 在 Lyft 的实践
过往记忆大数据
03-27 3108
2017 年初,我们开始探索 Presto 来解决 OLAP 用例,我们意识到了这个惊人的查询引擎的潜力。与 Apache Hive 相比,它最初是一种临时查询工具,供数据工程师和分析师以更快的方式运行 SQL 来构建查询原型。当时很多内部仪表板都由 AWS-Redshift 提供支持,并将数据存储和计算耦合在一起。我们的数据呈指数级增长(每隔几天翻一番),这也需要频繁的...
Presto在车好多的实践
过往记忆大数据
12-18 5629
本文作者:车好多大数据OLAP团队-王培Presto 简介1.简介Presto 最初是由 Facebook 开发的一个分布式 SQL 执行引擎, 它被设计为用来专门进行高速、实时的数据分...
java pass can not be_java – 校验和失败:Kerberos / Spring / Active Directory(2008)
weixin_33791488的博客
02-16 529
问题似乎在关键表中.有一些动作序列导致某些特定的keytab文件状态:(A)keytab适用于Java但不适用于k5start / kinit;(B)keytab不适用于Java,但适用于k5start / kinit;(C)keytab适用于它们.简短的Java代码,允许检查Java是否可以使用keytab文件进行身份验证:import java.io.File;import java.io.F...
presto sql中访问map类型
06-01
Presto SQL中,可以使用`MAP`函数来访问`MAP`类型。`MAP`函数可以接受两个参数,第一个参数是要访问的`MAP`类型的列,第二个参数是要访问的键值。 例如,假设有一个`MAP`类型的列`properties`,其中包含键值对`('...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值