基于kerberos的hadoop安全集群搭建

最新推荐文章于 2024-07-11 00:29:13 发布
最新推荐文章于 2024-07-11 00:29:13 发布
阅读量647 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38166318/article/details/118067583
版权
本文详细介绍了如何在Hadoop集群中搭建基于kerberos的安全环境,包括kerberos账号创建、keytab制作、core-site.xml配置、HDFS、YARN的安全设置,以及datanode的TLS/SSL配置等步骤,确保数据传输的安全性。
摘要由CSDN通过智能技术生成

[TOC]

上一份工作主要负责大数据平台的建设,在这个过程中积累了一些Hadoop生态组件的搭建和使用笔记,由于时间关系,不打算去修改其中的错别字和排版问题,直接释出原始笔记。

前置条件

我所在的集群有三台服务其,对应的host分别为master,slave1,slave2。hadoop服务的安装分部为

机器host 组件情况
master namenode、datanode、journalnode、resourcemanager、nodemanager、jobhistoryserver
slave1 namenode、datanode、journalnode、resourcemanager、nodemanager
slave2 datanode、journalnode、nodemanager

kerberos相关

首先我们要安装好kerberos,kerberos的安装搭建参考链接 https://www.cnblogs.com/niceshot/p/13216455.html

给hadoop各组件创建kerberos账号

进入kerberos的admin.local后,依次执行下述命令

//组件web服务的princial
addprinc -randkey HTTP/master@TEST.COM
addprinc -randkey HTTP/slave1@TEST.COM
addprinc -randkey HTTP/slave2@TEST.COM

//namenode的princial
addprinc -randkey nn/master@TEST.COM
addprinc -randkey nn/slave1@TEST.COM

//datanode的princial
addprinc -randkey dn/master@TEST.COM    
addprinc -randkey dn/slave1@TEST.COM
addprinc -randkey dn/slave2@TEST.COM

//journalnode的princial
addprinc -randkey jn/master@TEST.COM    
addprinc -randkey jn/slave1@TEST.COM
addprinc -randkey jn/slave2@TEST.COM

//resourcemanager 的princial
addprinc -randkey rm/master@TEST.COM
addprinc -randkey rm/slave1@TEST.COM

//nodemanager的principal
addprinc -randkey nm/master@TEST.COM    
addprinc -randkey nm/slave1@TEST.COM
addprinc -randkey nm/slave2@TEST.COM

//job hisotry server的princial
addprinc -randkey jhs/master@TEST.COM
将这些账号做成keytab

同样是在admin.local中,将上述账号认证信息做成keytab

ktadd -k /opt/keytab_store/http.service.keytab HTTP/master@TEST.COM
ktadd -k /opt/keytab_store/http.service.keytab HTTP/slave1@TEST.COM
ktadd -k /opt/keytab_store/http.service.keytab HTTP/slave2@TEST.COM

ktadd -k /opt/keytab_store/nn.service.keytab nn/master@TEST.COM
ktadd -k /opt/keytab_store/nn.service.keytab nn/slave1@TEST.COM

ktadd -k /opt/keytab_store/dn.service.keytab dn/master@TEST.COM    
ktadd -k /opt/keytab_store/dn.service.keytab dn/slave1@TEST.COM
ktadd -k /opt/keytab_store/dn.service.keytab dn/slave2@TEST.COM

ktadd -k /opt/keytab_store/jn.service.keytab jn/master@TEST.COM    
ktadd -k /opt/keytab_store/jn.service.keytab jn/slave1@TEST.COM
ktadd -k /opt/keytab_store/jn.service.keytab jn/slave2@TEST.COM

ktadd -k /opt/keytab_store/rm.service.keytab rm/master@TEST.COM
ktadd -k /opt/keytab_store/rm.service.keytab rm/slave1@TEST.COM

ktadd -k /opt/keytab_store/nm.service.keytab nm/master@TEST.COM    
ktadd -k /opt/keytab_store/nm.service.keytab nm/slave1@TEST.COM
ktadd -k /opt/keytab_store/nm.service.keytab nm/slave2@TEST.COM

ktadd -k /opt/keytab_store/jhs.service.keytab jhs/master@TEST.COM

多个账号可以做到一个keytab中去,上述的命令做了多个文件,不同组件角色的单独放到了一个keytab文件中。其实内部网络,可以把所有的hadoop相关组件做成一个大的keytab文件,降低配置复杂性。

将上述的keytab文件,分发到集群所有机器

core-site.xml

关键配置

        <property>
                <name>hadoop.security.authentication</name>
                <value>kerberos</value>
        </property>
        <property>
                <name>hadoop.security.authorization</name>
                <value>true</value>
        </property>
        <property>
                <name>hadoop.security.auth_to_local</name>
                <value>
                        RULE:[2:$1/$2@$0]([ndj]n/.*@TEST.COM)s/.*/hdfs/
                        RULE:[2:$1/$2@$0]([rn]m/.*@TEST.COM)s/.*/yarn/
                        RULE:[2:$1/$2@$0](jhs/.*@TEST.COM)s/.*/mapred/
                        DEFAULT
                </value>
        </property>

上述配置的意思是 在整个集群中费用kerberos作为安全

最低0.47元/天 解锁文章
西北偏北up
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hadoop集群集成kerberos
SeoHyunChyL的博客
09-29 3514
上周周会领导让研究kerberos,要在我们的大集群中使用,研究任务指派给了我。这周的话也是用测试集群大概的做了一遍。目前为止的研究还比较粗糙,网上众多资料都是CDH的集群,而我们的集群是不是用的CDH,所以在集成kerberos的过程中有一些不同之处。测试环境是由5台机器搭建的集群,hadoop版本是2.7.2。5台机器host分别是 rm1、rm2、test-nn1、test-nn2、10-1
HDFS配置Kerberos之创建 CA SSL证书
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
10-14 668
hdfs配置Kerberos之前 先创建ca证书
[ Hadoop 3.2.1 官方文档 ] Hadoop 开启 Kerberos 安全模式
张伯毅的专栏
03-29 4827
一. 介绍 本文档介绍了如何在安全模式下为Hadoop配置身份验证。将Hadoop配置为以安全模式运行时,每个Hadoop服务和每个用户都必须通过Kerberos进行身份验证。 必须正确配置所有服务主机的正向和反向主机查找,以允许服务彼此进行身份验证。可以使用DNS或etc/hosts文件配置主机查找。建议在尝试以安全模式配置Hadoop服务之前,具备Kerberos和DNS的相关知识。 Hadoop安全功能包括身份验证,服务级别授权,Web身份验证和数据机密性。 二. 验证 2.1.固定用户帐户 启用服
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 827
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
搭建开启keberos的hadoop集群(1)
HJ_tianyaZD的博客
03-30 440
主机名hadoop101hadoop102hadoop103hadoop104IP组件nn1datanodezookeeperrangerdatanodezookeeperdatanodezookeepernn2mysqlKDC。
Hadoop安全Kerberos
S1124654的博客
01-30 3633
Hadoop安全Kerberos
hadoop集群安装配置Kerberos(二):搭建kerberos基础环境(主从kdc)
changlina_1989的博客
12-21 6374
文章目录 文章目录 一、安装前需知 二、安装前准备 三、安装步骤 1.NTP时钟同步 2.目录设置 3.配置hosts 4.安装软件 5.主kdc节点创建realm 6.启动服务 7.从KDC节点安装 8.快速测试 一、安装前需知 1、我们安装的方案为kerberos5解决方案,所以我们所有的KDC 都能够处理 Kerberos 5 客户端,不考虑kerberos4兼容性。 2、在选择运行 Kerberos KDC 的部署平台时,真正需要...
hadoop集群搭建.rar
05-31
【标题】"hadoop集群搭建.rar"所涉及的知识点涵盖了大数据处理领域的重要组件和技术,包括Zookeeper(zk)、Hadoop、HBase、Hive以及Kylin,并提到了安全认证机制Kerberos。以下是对这些技术的详细解释: 1. **...
Hadoop集群搭建共10页.pdf.zip
10-29
【标题】:“Hadoop集群搭建共10页.pdf” 【描述】:该压缩包文件包含了一份详细的关于Hadoop集群搭建的教程,总计10页,可能是PDF格式的文档,提供了从基础到进阶的Hadoop集群配置和管理指导。 【标签】:...
基于Apache hadoop搭建高可用、高安全的大数据中台
最新发布
07-20
### 基于Apache Hadoop搭建高可用、高安全的大数据中台 #### 1. 知识点概述 在当前大数据技术飞速发展的背景下,Apache Hadoop作为一款开源的大数据处理框架,仍然占据着非常重要的地位。尤其对于那些追求高可用性...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
linux(centos 6.5)hadoop集群搭建
04-27
以上步骤是基于Hadoop 2.6.4在CentOS 6.5上的基本集群搭建流程,实际操作时可能需要根据具体网络环境和资源情况进行调整。提供的详细文档应包含了每一步的具体操作和相关代码,便于参照执行。记得在搭建过程中随时...
Hadoop 配置 Kerberos 认证
zhy1379的博客
10-15 4019
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
KerberOS Hadoop 认证安装配置
Jerry的博客
01-26 3142
1. 关闭 selinux vim /etc/sysconfig/selinux 2. 安装 yum 源配置参考 https://blog.csdn.net/Jerry_991/article/details/118910505 3. 安装 kerberos 的 server 端(一般找一台单独的机器) yum install -y krb5-ibs krb5-server krb5-workstation (查看 yum list | grep krb 中是否有安装软件) ...
Kerberos安全认证-连载8-Hadoop Kerberos安全配置
qq_32020645的博客
06-07 1696
当使用KerberosHadoop进行数据安全管理时,需要使用LinuxContainerExecutor,该类型Executor只支持在GNU / Linux操作系统上运行,并且可以提供更好的容器级别的安全性控制,例如通过在容器内运行应用程序的用户和组进行身份验证,此外,LinuxContainerExecutor还可以确保容器内的本地文件和目录仅能被应用程序所有者和NodeManager访问,这可以提高系统的安全性。
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1440
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 479
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
原生apache hadoop3.3.1集群安装配置Kerberos
h952520296的博客
05-25 1474
安装kerberos可以看一下我另外一篇。下面直接开始配置hadoop部署好了kerberos之后,首先添加用户和生成认证文件在KDC中添加需要认证的用户具体用户看情况而定(hadoop集群主要由hdfs管理,所以除了建hdfs账户还有HTTP账户,另外还有hive、hbase、dwetl也会访问hadoop集群。如有别的用户可用这种方式另行添加,如下图:格式为:用户名/主机hostname@HADOOP.COM。
kerberos+Hadoop集群搭建详解:从环境准备到Hive应用
本文档详细介绍了如何在三台机器上搭建一个集成了Kerberos安全机制的Hadoop集群,以确保数据的安全性和访问控制。整个过程分为几个关键步骤: 1. 环境准备 - 使用root权限进行操作。 - 规划机器角色(可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值