HBase加密存储

最新推荐文章于 2024-01-28 14:32:47 发布
最新推荐文章于 2024-01-28 14:32:47 发布
阅读量5.8k 收藏 4
点赞数
分类专栏: HBase 文章标签: HBase 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42348333/article/details/82377568
版权

思路

1、HBase的加密存储,最初的思路如下:由于HBase的存储落在hdfs上的原因,理论上可以利用hdfs的透明加密来实现HBase的加密存储,可以先把hbase在DFS上的路径做一个别名备份,然后清空原本的HBase路径(hdfs的透明加密区要求是空路径),再为HBase原本的路径作为透明加密区,最后将一系列权限赋给hbase用户,将数据导入加密区。注:这只是一种实现思路,并没有去付诸实施。

2、大数据这一类技术栈,还是需要多看看官网的文档的。HBase的官方文档对于加密的诠释见以下链接(63.4):http://hbase.apache.org/book.html#_securing_access_to_your_data 本文属于半翻译半实践吧。

概述

HDFS的加密存储的原理可以看我的另一篇文章:https://blog.csdn.net/weixin_42348333/article/details/81951562

HBase的数据加密存储与HDFS的数据加密存储有非常多的相似点:

1.都是双层密钥体系,都是具备master key与data key,HBase中的master key相当于HDFS中的EZ key,HBase中的data key相当于HDFS的DEK。不同的是HBase的data key是自动生成的,如果使用Ranger KMS,HDFS的EZ key也是自动生成的。

2.HBase与HDFS都将对于的密钥信息(加密信息)写进了对应的元数据。

实现

配置HBase加密

1.利用keytool生成key  (先生成密钥文件,再配置hbase)

keytool本身就是一个功能强大的工具,与大数据组件无关,更多用法,包括避免交互式输入密码的命令见:https://blog.csdn.net/zlfing/article/details/77648430

$ keytool -keystore /path/to/hbase/conf/hbase.jks \
  -storetype jceks -storepass **** \
  -genseckey -keyalg AES -keysize 128 \
  -alias <alias>

2.设置密钥文件适当的权限(chown chgrp),并将其分发(scp)给所有的HBase的服务器。

上面的命令创建一个名为hbase.jks在HBase的CONF /目录。设置该文件的权限和所有权,使得只有HBase的服务帐户的用户可以读取该文件,并安全地分发密钥给所有HBase的服务器。(这一步不可以跳过,如果跳过,在添加完对应的加密配置项后,重启HBase时会发生Regionserver无法启动的情况。)

3.配置HBase的守护进程。

设置在下面的配置项在HBase-site.xml中的server端(在HDP集群中,由于我的环境将server和client端都配置在同一个节点上,直接在client改后台配置的话,前端的重启HBase操作会覆盖后台的配置项,所以我直接在server端(前端页面)的自定义hbase-site.xml增加了对应的配置项。)在下面的例子中,替换****的密码。

<property>
  <name>hbase.crypto.keyprovider</name>
  <value>org.apache.hadoop.hbase.io.crypto.KeyStoreKeyProvider</value>
</property>
<property>
  <name>hbase.crypto.keyprovider.parameters</name>
  <value>jceks:///path/to/hbase/conf/hbase.jks?password=****</value>
</property>
默认情况下,HBase的服务帐户名称将用于定义集群master key。当然别名可以根据个人需要进行更改,设置以下属性为你所用的别名。

<property>
  <name>hbase.crypto.master.key.name</name>
  <value>my-alias</value>
</property>
还需要确保HFiles使用HFILE V3,为了使用透明加密。这是HBase的1.0以后的默认配置。对于先前的版本,请在hbase-site.xml 文件配置对应属性。

<property>
  <name>hfile.format.version</name>
  <value>3</value>
</property>

4.配置WAL加密。

在每一个RegionServer的的配置WAL加密HBase的-site.xml中,通过设置以下属性。您可以包括这些在HMASTER的HBase的-site.xml中为好,但HMASTER没有WAL,并不会使用它们。

<property>
  <name>hbase.regionserver.hlog.reader.impl</name>
  <value>org.apache.hadoop.hbase.regionserver.wal.SecureProtobufLogReader</value>
</property>
<property>
  <name>hbase.regionserver.hlog.writer.impl</name>
  <value>org.apache.hadoop.hbase.regionserver.wal.SecureProtobufLogWriter</value>
</property>
<property>
  <name>hbase.regionserver.wal.encryption</name>
  <value>true</value>
</property>
5.配置hbase-site.xml的权限

因为密钥库密码存储在hbase-site.xml中,你需要确保只有HBase的用户可以读取hbase-site.xml的文件,使用文件所有权和权限。

6.重新启动集群。

将新的配置文件分发到所有节点并重新启动集群。

创建表t2并设置CF加密

1.创建对应的表

# hbase shell
# create 't2', {NAME => 'f1', COMPRESSION => 'SNAPPY', ENCRYPTION => 'AES'}
# put 't2','r1','cf1:a','1000'
# flush 't2'

2.读取HFile中内容,EncryptionKey=Present
# hbase hfile -f hdfs://node1:8020/apps/hbase/data/data/default/t2/759edcb0795e7c6b75a2f28ee971b371/cf1/45b3dcb31816411b9be12ad6ec99b921 -v -s -m

加密读写性能对比

利用YCSB的读写基准测试,来进行明文和密文的读写性能对比。HBase单表单列族,写入和读取5000w条数据。

暗焰之珩
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
hbase 添加用户_开源工具 | HBase表管理系统——HBaseManager2.0.6
weixin_35869628的博客
12-13 469
1. 更新预览 在 HBaseManager 2.0.6 版本中,主要集成了 Kerberos 认证以及初步支持 HQL 的功能。快速体验站点:http://www.jielongping.com:9527/index 账户密码:admin/admin123 2. Kerberos 认证 如果你的 HBase 集群集成了 Kerberos,那么你需要在配置文件hbase-manage...
数据加密存储常见的加密方式
最新发布
qq_44005305的博客
04-10 771
数据加密存储五种常见的加密方式先总结下:数据加密存储五种常见的加密方式:数据加密存储方式一、MD5加密加密不可逆)。数据加密存储方式二、Base64位加密(可加密也可解密)。数据加密存储方式三、sha1加密加密不可逆)。数据加密存储方式四、RSA加密(公钥加密,私钥解密)。数据加密存储方式五、AES加密(需要密钥才能解密)下面详细说下数据加密存储常见的加密方式。
HBase2.0.0结合Ranger1.1.0、Ranger-KMS1.1.0创建加密存储
TT-Learning
01-09 716
文章目录集群安装HBase组件1.1 以用户keyadmin,密码(同安装ranger时设置admin密码)登录Ranger,进入RangerKMS,创建`key1`密钥;1.2 授权hbase用户拥有解密权限;1.3 退出RangerKMS,登录Ranger,授权hbase用户拥有写入`/apps/hbase`目录的权限;1.4 通过Ambari界面停止hbase组件;1.5 命令行操作如下2....
HBase配置AES加密
CREATE_17的博客
04-21 1286
版本: HDP:3.0.1.0 HBase:2.0.0 一、前言 为了避免第三方非法访问我们的重要数据,我们可以给HBase配置加密算法,目前HBase只支持使用aes加密算法,用于保护静态的HFile和WAL数据。 HBase配置的AES加密是一种端到端的加密模式,其中的加/解密过程对于客户端来说是完全透明的。数据在客户端读操作的时候被解密,当数据被客户端写的时候被加密。这个功能作用就是保证...
HBase的数据加密与安全性保障
禅与计算机程序设计艺术
01-25 605
1.背景介绍 1. 背景介绍 HBase是一个分布式、可扩展、高性能的列式存储系统,基于Google的Bigtable设计。它是Hadoop生态系统的一部分,可以与HDFS、MapReduce、ZooKeeper等其他组件集成。HBase的数据加密和安全性保障是其在企业级应用中的重要特性之一。 在本文中,我们将讨论HBase的数据加密和安全性保障,包括其核心概念、算法原理、最佳实践、应用场景...
HBase安全策略:访问控制与数据加密
禅与计算机程序设计艺术
01-28 1034
1.背景介绍 在大数据时代,HBase作为一个分布式、可扩展的列式存储系统,已经成为了许多企业的核心基础设施。然而,随着数据的增长和业务的复杂化,数据安全性和访问控制也成为了关键的问题。因此,在本文中,我们将深入探讨HBase安全策略的两个核心方面:访问控制和数据加密。 1. 背景介绍 HBase作为一个分布式数据库,具有高可扩展性和高性能。然而,这也意味着数据的安全性和可靠性可能受到挑战。...
14、HDFS 透明加密KMS
05-29
【HDFS 透明加密KMS】是Hadoop分布式文件系统(HDFS)提供的一种安全特性,用于保护存储在HDFS中的数据,确保数据在传输和存储时的安全性。HDFS透明加密通过端到端的方式实现了数据的加密和解密,无需修改用户的应用...
mysql2hbase.7z
07-01
HBase是一个基于Google Bigtable设计的开源、分布式、版本化、列族存储的NoSQL数据库,它运行在Hadoop之上,提供了高吞吐量的数据读写能力,适用于大规模半结构化或非结构化数据的存储。由于其设计目标和特性,HBase...
C#操控hbase数据库
11-03
在IT行业中,数据库管理系统是数据存储和处理的关键技术,而HBase作为一个分布式、列式存储的NoSQL数据库,尤其适用于大规模大数据的存储和查询。它基于Google的Bigtable设计,运行于Apache Hadoop之上,提供了高...
hbase 权限三种方式.docx
11-06
本文主要介绍了三种HBase的权限管理方式,包括静态数据透明加密、Kerberos认证以及用户权限访问控制。 首先,静态数据透明加密是一种保护存储在HDFS(Hadoop Distributed File System)上的HFile和WAL(Write-Ahead...
hadoop数据加解密
12-22
1、随机生成大文本文件(以行方式存储),文件存储在HDFS中,并将文件信息写入HBase中。 2、选择AES加密算法对生成的文件进行加密操作,秘钥长度为128位,加密后的文件存储HDFS中,秘钥写入HBase 3、从HBase中读取相应的文件名和秘钥,对文件进行解密操作,解密后的文件存储在HDFS中。 4、比较初始文件与解密后的文件内容一致性 5、统计操作总时长及各操作步的总时长
Hbase权限设置
07-14
文件主要介绍如何在CDH集群安装模式下如何实现Hbase的权限控制,及Hbase常用的权限控制命令
kafka2hbase.zip|kafka2hbase.zip
11-09
Kafka、Spark和HBase都提供了相应的安全机制,如SSL加密、Kerberos认证等,需要根据具体需求配置。 9. **优化策略**: 为了提高性能,可能需要对Kafka的分区策略、Spark的并行度、HBase的表设计等进行优化。例如,...
HBase入门篇
lykangjia的专栏
08-16 5101
1-HBase的安装 HBase是什么? HBase是Apache Hadoop中的一个子项目,Hbase依托于Hadoop的HDFS作为最基本存储基础单元,通过使用hadoop的DFS工具就可以看到这些这些数据 存储文件夹的结构,还可以通过Map/Reduce的框架(算法)对HBase进行操作,如右侧的图所示: HBase在产品中还包含了Jetty,在HBase启动时采用嵌入式
云数据库HBase企业级安全解析
weixin_34406086的博客
01-29 150
摘要:在2018年1月25日的数据库直播中,Apsara DB-HBase产品技术团队的天斯分享了“云数据库HBase企业级安全解析”的重要课题,通过与开源HBase相比,拥有由Intel和Alibaba合作开发的HAS系统的云HBase系统无论在安全性还是在运维成本上亦或是友好性上都有了较大的提高。直播视频:https://yq.aliyun.com/...
hbase创建用户名和密码_【玩转路由】常见品牌路由器默认登录密码大全
weixin_42109545的博客
12-22 1372
本文总结了常见品牌路由器的默认登录密码是多少,希望在大家需要时,能够帮助到大家。TP-Link路由器: 192.168.1.1(老版本有用户名和密码,同为admin)、 tplogin.cn(新版本没有默认密码,需自定义设置)水星(Mercury)路由器: 192.168.1.1(老版本有用户名和密码,同为admin)、melogin.cn(新版本没有默认密码,需自定义设置)迅捷(Fast)路由:...
hbase_使用阿里云hbase
子龙修仙的博客
05-20 3530
官网上的帮助:问:我配置了ZK地址以后,还是无法连接上HBasea) 首先。目前HBase还没有提供公网的访问地址。所以使用公网是无法访问到HBase的。您需要在和HBase相同的地域的ECS机器上才能正确访问到HBase。b) 请确认您的HBase的网络设置和您访问的ECS是相同的。如果ECS是经典网络,那么HBase需要设置为经典网络,如果ECS是VPC的,那么HBase就需要设置为VPC。c...
HBase使用
11-18 833
部署HBase首先部署Hadoop,下载HBase和zookeeper。 HBase的conf目录,配置hbase-env.sh和hbase-site.xml hbase-env.sh export JAVA_HOME=/usr/java/jdk1.8.0_261-amd64(profile中配置过也需要在此配置) export HBASE_CLASSPATH=/usr/local/hbase-2.3.7/conf(hbase的conf目录) export HBASE_MANAGES_ZK=false
安全加固----十一、Hadoop服务安全加固
七天
07-07 555
文章目录一、Hadoop 介绍二、Hadoop 环境安全问题1、WebUI 敏感信息泄漏2、Hadoop 的第三方插件安全漏洞3、Hive 任意命令/代码执行漏洞三、安全加固方案 一、Hadoop 介绍 Hadoop 是一个由 Apache 基金会所开发的一个开源、高可靠、可扩展的分布式计算框架。 Hadoop 由许多元素构成。其最底部是 Hadoop Distributed File System(HDFS),它存储 Hadoop 集群中所有存储节点上的文件。HDFS的上一层是MapReduce 引擎
HBase官网文档解读.pdf
07-06
10. **HBase安全(Securing Apache HBase)**:介绍如何保护HBase集群,包括认证、授权和加密等安全措施。 11. **架构(Architecture)**:深入到HBase的内部工作机制,如Master节点、RegionServer、Zookeeper的角色,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值