hdfs 多租户_CDH多租户配置过程中遇到的问题

最新推荐文章于 2024-07-02 15:52:09 发布
最新推荐文章于 2024-07-02 15:52:09 发布
阅读量971 收藏 1
点赞数 1
文章标签: hdfs 多租户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39891438/article/details/111494028
版权
本文分享了在CDH环境下配置HDFS多租户时遇到的服务启动错误和权限控制问题。启动错误源于环境变量配置导致HDFS使用SIMPLE认证而非Kerberos。在集成Kerberos和Sentry后,发现Sentry对Hive CLI权限控制无效,而Beeline正常。此外,还讨论了MapReduce作业提交限制、YARN的min.user.id配置以及Impala启动时的SASL错误的解决方法。
摘要由CSDN通过智能技术生成

多租户是CDH里面非常重要的一部分,从一开始配置KDC到集成KDC,服务使用过程中都有可能会遇到各种各样的问题;下面我举例说下我当时遇过的问题,希望能帮助到大家

服务启动错误

KDC服务配置完成安装完成,CDH集成过程中也没问题,CDH启动过程完客户端执行kinit的时候也没有问题,但一旦用hadoop fs -/s hadoop命令就报以下错误

SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]

百思不得其解的情况下去看了namenode启动脚本,发现里面会首先加载环境变量为 $HADOOP_CONF_DIR里面的配置文件.xml

接着输入命令 echo $HADOOP_CONF_DIR,发现有值

vi /etc/profile发现以下配置

企业微信截图_15281173461421.png

大坑啊~~~~,hdfs启动一直加载这个目录下的配置文件,而不是加载cdh前端生成的配置文件,导致hadoop fs 命令一直发送simple请求而不是kerberos请求

服务使用问题

CDH集成Kerberos + Sentry后,由于部分用户有权限登陆linux直接使用服务,偶尔他们会用hive client使用hive服务,这时候你会发现 sentry权限控制对hive client不生效

kinit deng_yb,该账号之前做了权限控制

登陆hive clinet看到的效果

[root@bi-master ~]# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: deng_yb@WONHIGH.COM

Valid starting Expires Service principal

06/07/18 20:40:52 06/08/18 20:40:52 krbtgt/WONHIGH.COM@WONHIGH.COM

renew until 06/14/18 20:40:52

[root@bi-master ~]# hive

Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=512M; support was removed in 8.0

Java HotSpot(TM) 64-Bit Server VM warning: Using incremental CMS is deprecated and will likely be removed in a future release

Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=512M; support was removed in 8.0

Logging initialized using configuration in jar:file:/opt/cloudera/parcels/CDH-5.11.0-1.cdh5.11.0.p0.34/jars/hive-common-1.1.0-cdh5.11.0.jar!/hive-log4j.properties

sWARNING: Hive CLI is deprecated and migration to Beeline is recommended.

hive> show databases;

OK

bi

default

gms

gtp

gtp_data

gtp_dc

gtp_test

gtp_txt

kudu_raw

kudu_test

kudu_vip

Time taken: 3.417 seconds, Fetched: 11 row(s)

所有库的信息都看到了~~~~~

同样账号。在beeline看到的是

Last login: Thu Jun 7 21:48:31 2018 from 10.230.71.245

[root@bi-master ~]# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: deng_yb@WONHIGH.COM

Valid starting Expires Service principal

06/07/18 20:40:52 06/08/18 20:40:52 krbtgt/WONHIGH.COM@WONHIGH.COM

renew until 06/14/18 20:40:52

[root@bi-master ~]# beeline

Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=512M; support was removed in 8.0

Java HotSpot(TM) 64-Bit Server VM warning: Using incremental CMS is deprecated and will likely be removed in a future release

Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=512M; support was removed in 8.0

Beeline version 1.1.0-cdh5.11.0 by Apache Hive

beeline> !connect jdbc:hive2://localhost:10000/;principal=hive/bi-master@WONHIGH.COM

scan complete in 9ms

Connecting to jdbc:hive2://localhost:10000/;principal=hive/bi-master@WONHIGH.COM

Connected to: Apache Hive (version 1.1.0-cdh5.11.0)

Driver: Hive JDBC (version 1.1.0-cdh5.11.0)

Transaction isolation: TRANSACTION_REPEATABLE_READ

0: jdbc:hive2://localhost:10000/> show databases;

INFO : Compiling command(queryId=hive_20180607220303_1319b1e8-5ec3-477b-836e-2a279b566ef4): show databases

INFO : Semantic Analysis Completed

INFO : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:database_name, type:string, comment:from deserializer)], properties:null)

INFO : Completed compiling command(queryId=hive_20180607220303_1319b1e8-5ec3-477b-836e-2a279b566ef4); Time taken: 1.87 seconds

INFO : Executing command(queryId=hive_20180607220303_1319b1e8-5ec3-477b-836e-2a279b566ef4): show databases

INFO : Starting task [Stage-0:DDL] in serial mode

INFO : Completed executing command(queryId=hive_20180607220303_1319b1e8-5ec3-477b-836e-2a279b566ef4); Time taken: 0.835 seconds

INFO : OK

+----------------+--+

| database_name |

+----------------+--+

| bi |

| default |

+----------------+--+

3 rows selected (4.704 seconds

只能看到部分库的信息

因此hive client看到的东西不受sentry控制

但之前我们通过hadoop fs -ls 命令是看不到其他用户目录的下的文件,是否意味着就算通过在hive clinet看到所有东西(metainfo),超出自身权限的数据(data)是看不到的?

#随便查个不是自己权限下的表信息

Time taken: 0.076 seconds, Fetched: 114 row(s)

hive> select * from ods_item;

FAILED: SemanticException Unable to determine if hdfs://bi-master:8020/user/hive/warehouse/gtp.db/ods_item is encrypted: org.apache.hadoop.security.AccessControlException: Permission denied: user=deng_yb, access=READ, inode="/user/hive/warehouse/gtp.db/ods_item":hive:hive:drwxrwx--x

at org.apache.hadoop.hdfs.server.namenode.DefaultAuthorizationProvider.checkAccessAcl(DefaultAuthorizationProvider.java:363)

at org.apache.hadoop.hdfs.server.namenode.DefaultAuthorizationProvider.check(DefaultAuthorizationProvider.java:256)

at org.apache.hadoop.hdfs.server.namenode.DefaultAuthorizationProvider.checkPermission(DefaultAuthorizationProvider.java:168)

at org.apache.sentry.hdfs.SentryAuthorizationProvider.checkPermission(SentryAuthorizationProvider.java:178)

at org.apache.hadoop.hdfs.server.namenode.FSPermissionChecker.checkPermission(FSPermissionChecker.java:152)

at org.apache.hadoop.hdfs.server.namenode.FSDirectory.checkPermission(FSDirectory.java:3529)

at org.apache.hadoop.hdfs.server.namenode.FSDirectory.checkPermission(FSDirectory.java:3512)

at org.apache.hadoop.hdfs.server.namenode.FSDirectory.checkPathAccess(FSDirectory.java:3483)

at org.apache.hadoop.hdfs.server.namenode.FSNamesystem.checkPathAccess(FSNamesystem.java:6588)

at org.apache.hadoop.hdfs.server.namenode.FSNamesystem.getEZForPath(FSNamesystem.java:9282)

at org.apache.hadoop.hdfs.server.namenode.NameNodeRpcServer.getEZForPath(NameNodeRpcServer.java:1635)

at org.apache.hadoop.hdfs.server.namenode.AuthorizationProviderProxyClientProtocol.getEZForPath(AuthorizationProviderProxyClientProtocol.java:928)

at org.apache.hadoop.hdfs.protocolPB.ClientNamenodeProtocolServerSideTranslatorPB.getEZForPath(ClientNamenodeProtocolServerSideTranslatorPB.java:1360)

at org.apache.hadoop.hdfs.protocol.proto.ClientNamenodeProtocolProtos$ClientNamenodeProtocol$2.callBlockingMethod(ClientNamenodeProtocolProtos.java)

at org.apache.hadoop.ipc.ProtobufRpcEngine$Server$ProtoBufRpcInvoker.call(ProtobufRpcEngine.java:617)

at org.apache.hadoop.ipc.RPC$Server.call(RPC.java:1073)

at org.apache.hadoop.ipc.Server$Handler$1.run(Server.java:2220)

at org.apache.hadoop.ipc.Server$Handler$1.run(Server.java:2216)

at java.security.AccessController.doPrivileged(Native Method)

at javax.security.auth.Subject.doAs(Subject.java:422)

at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1920)

at org.apache.hadoop.ipc.Server$Handler.run(Server.java:2214)

因此实际上,真实数据是看不到的,假如你不介意的话;就这样也没关系

介意的话,可以在cm上面hive配置设置白名单用户

hive_allowed.png

这样其他用户想查看库和表信息就会报错

MapReduce使用问题

我们在用sqoop从oracle导数到hive过程中,报类似这样的错

Requested user deng_yb is not whitelisted and has id 501,whichis below the minimum allowed 1000

Failing this attempt. Failing the application.

17/09/02 20:05:04 INFO mapreduce.Job: Counters: 0

Job Finished in 6.184 seconds

那是因为Yarn限制了用户id小于10000的用户提交作业;Yarn的min.user.id改为0即可

to_zero.png

重启yarn

部分用户想用hdfs账号做MapReduce操作,有可能遇到下面错误

Diagnostics: Application application_1528344974377_0009 initialization failed (exitCode=255) with output: main : command provided 0

main : run as user is hdfs

main : requested yarn user is hdfs

Requested user hdfs is banned

这是因为yarn禁止了hdfs用户调度资源,解决方案如下:

yarn_ban_user.png

把hdfs这行删了就好,重启问题解决

impala问提

部分节点集成kerberos后启动impala daemon报错,类似以下错误

(SASL(-4): no mechanism available: No worthy mechs found)

这时候在报错的节点安装以下

yum install cyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-gssapi

重启

kafka使用问题

impala jdbc使用问题

weixin_39891438
关注
【hadoop】AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]
九师兄
03-03 2030
今天要对接华为的hadoop环境,然后我要执行相关的kerberos认证,然后获取到他们的YarnClient。但是报错 他们给的demo案例如下 authentication是主要的安全认证都在这里 做一些检测,然后执行hadoop认证 真正的hadoop认证 在认证是调用了返回一个用户信息,然后返回给 然后对应的配置文件如下 执行主类运行结果正常,可以看到获取到了Yarn相关的信息 1.2 我的异常 我的跟这个一样的,把他们的Jar包拷贝到我们项目,而且这块认证的跟他们一样,但是我的无法认证通过 然后
hdfs 多租户_hadoop 多租户管理
weixin_39951112的博客
12-19 873
一个hadoop集群上面能有多个用户,每个用户往自己的存储空间存入数据,调用分配的资源进行分布式存储和分布式计算,而互不影响,这难道不是一件很美妙的事情么?1:添加新的linux用户 useradd hadoopacl12: 给hadoopacl1用户分配hdfs存储空间hadoop fs -mkdir /hadoopacl1hadoop fs -chown -R hadoopacl1:h...
关于CDH多租户
萌兔兔MMQ!!
04-16 1140
多租户管理 大部分客户都需要数据心和数据服务化 原因:全球化部署,资源共享 业务变化快,管控要求 数据量太大,技术要求 现状和集问题 目前问题在灵活部署管理、安全多租户问题、数据治理、数据探索等多个方面。客户问题举例: 多个业务部门如何有效的共享一个数据心和共享数据服务 大数据及Hadoop环境下如何进行数据治理 多租户和Hadoop-as-a-Services平台方面的整体架构演进路径是什么 在科技上实现多个“区域心"的背景下,大数据集群的部署如何实现分布部署,集管控 对于数据探索和机器学
多租户hive数仓
最新发布
m0_60600640的博客
07-02 1029
在SaaS实施过程,有一个显著的考量点,就是如何对应用数据进行设计,以支持多租户,而这种设计的思路,是要在数据的共享、安全隔离和性能间取得平衡。三种模式的特点可以用一张图来概括。
大数据平台多租户管理实现(理论篇)
jintian910625的博客
02-26 4882
随着数据量的指数型增长,以及Hadoop生态系统的不断完善,越来越多的公司选择Hadoop作为数据仓库,并在大数据集群上架设了越来越多的相对复杂的应用场景需求。在公司内部,多用户业务应用架设在同一个Hadoop集群上,容易出现数据与集群资源混乱无序的状态,需要建立统一的调度平台实现数据统一管理、任务合理化调度,集群资源按需分配; 从集群使用角度延申,Hadoop大数据平台多租户管理实现在以下几点...
AccessControlException SIMPLE authentication is not enabled
zsyoung的博客
08-19 7687
现象: 启动namenode,namenode虽然起来了,但是namenode日志信息很多异常信息: AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS] 原因: 很多依赖hdfs的服务,但是没有开启安全认证,而hdfs开启了。 解决方案: 把依赖hdfs的服务关闭...
cdh用户权限_cdh5.7权限测试示例
weixin_31616803的博客
12-23 318
本文旨在展示CDH基于Kerberos身份认证和基于Sentry的权限控制功能的测试示例。1. 准备测试数据2.创建用户2.1.创建系统用户在集群所有节点创建系统用户并设置密码2.2.创建kerberos用户3.创建数据库和表3.1.创建数据库admin为sentry的超级管理员,该用户配置权限时已设置通过beeline连接 hiveserver2,运行下面命令创建hive库的超级管理员角色, 并...
CLOUDERA-Manager_文手册(全 高清)+ CDH安装手册
05-09
监控指标部分列出了集群各个服务的样例状态指标和报警指标,例如HDFS、MapReduce、HBase、Hive等,帮助用户快速定位问题并及时响应。 Cloudera Manager不仅提供了丰富的功能,还在性能优化、安全性和易用性方面...
cdh用户权限_数据平台(hadoop)多用户权限管理
weixin_39644139的博客
12-23 664
概述CDH测试集群已经搭建好了,勉强算是有个数据平台可以实践了,这几天一直在忙多用户权限管理的问题,借鉴网上博客,但抄袭无数,基本百度第一页都是一模一样的内容(渣渣)。信息混乱,过时,很多博客根本没作用或者讲的不清不楚,踩坑无数,心里下定决心,一定要写篇博客专门讲清楚,这次不讲底层本质,讲应用导读认证 (authentication) 和授权 (authorization)表权限表权限优化文件权限...
Yarn多租户配置实现资源隔离
weixin_38255444的博客
11-22 1909
Yarn多租户配置实现资源隔离 资源隔离介绍:资源隔离目前有2种,静态隔离和动态隔离。 静态隔离 ​ 所谓静态隔离是以服务隔离,是通过cgroups(LINUX control groups) 功能来支持的。 动态隔离 动态隔离只要是针对 YARN以及impala, 所谓动态只是相对静态来说,其实也不是动态。 第一步:hadoop102配置yarn-site.xml &lt...
Kerberos 下运行spark 报错 Requested user hdfs is not whitelisted and has id 995,which is below the minimu
jast
08-07 2578
异常如下 main : run as user is hdfs main : requested yarn user is hdfs Requested user hdfs is not whitelisted and has id 995,which is below the minimum allowed 1000 问题原因:是由于Yarn限制了用户id小于1000的用户提交作业; ...
java能否实现访问kerberos和simple安全级别的两个集群(补充解决方案)
qq_41768413的博客
09-26 4041
走过路过的java/hadoop大神,帮忙给看看。现在我的java程序,需要同时实现对多个集群的读写,这些集群分别由kerberos和simple这样不同的安全级别,我是在方法用分支实现的,但是访问时,总是会出现互相影响的情况,基本有两种异常。 如果simple集群访问成功,kerberos集群会失败,异常信息: org.apache.hadoop.security.AccessContr...
IDEA运行Spark验证出差
一个不安分的程序员
08-20 432
问题描述: 本地开发环境设置好了Hadoop也设置好了Java/Scala/HADOOP_CONF_DIR等环境变量,在IDEA运行Spark访问服务器Hadoop报: Exception in threa "main" org.apache.hadoop.security.AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS] 解决方法: ...
解决.security.AccessControlException: org.apache.hadoop.security .AccessControlException方法
zazazazaza96的博客
04-23 1297
hadoop在远程提交时出现org.apache.hadoop.security.AccessControlException: org.apache.hadoop.security .AccessControlException: Permission denied: user=Administrator, access=WRITE, inode=“hadoop”: hadoop:supergr...
org.apache.hadoop.security.AccessControlException 解决办法
热门推荐
蚂蚁窝
07-02 1万+
异常1: 上传文件到hdfs,找不到文件 异常2: spark-shell启动报错 org.apache.hadoop.security.AccessControlException: Permission denied: user=root, access=WRITE, inode="/user":hdfs:supergroup:drwxr-xr-x 异常3: 远程提交任务给Hadoop 可...
【Hadoop】Simple Authentication
TragicJun的专栏
08-07 6218
最近在写一个MapReduce程序,需要从DB里面读取某些数据,但是公司内所有的DB都是Kerberos方式认证,因而有必要对MapReduce Security机制做一些初步的研究。 JAAS 首先,Hadoop Security是基于JAAS(Java Authentication and Authorization Service)实现的,这是JDK标准的一个框架,可plug各种类型的L
HDFS用户的simple认证配置
WannaRunning的博客
03-17 1397
目录 配置authorization开启权限认证 配置允许操作的用户 HDFS有两种认证方式,SIMPLE方式较简单,只认证用户名称没有密码。 配置authorization开启权限认证 authorization配置在core-site.xml文件的 vi hadoop/etc/hadoop/core-site.xml <property> <name>hadoop.security.authorization</name> <valu..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值