Azkaban execute-as-user配置及关闭user-to-proxy

最新推荐文章于 2023-08-09 18:54:52 发布
最新推荐文章于 2023-08-09 18:54:52 发布
阅读量563 收藏
点赞数 1
分类专栏: Azkaban 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43666570/article/details/107349807
版权

为了保证系统的安全性,Azkaban向用户提供了一种采用Executor机器上的Linux用户执行job的方式,即execute-as-user。本文将说明Azkaban如何配置execute-as-user,并且修改Azkaban源代码,默认禁用user-to-proxy,强制Azkaban用户以当前身份提交作业。

1. 创建Linux用户和用户组

在Azkaban所有机器上创建用户,并将这些用户都加入到一个用户组中,选择其中一个用户启动Azkaban服务。为了举例方便,此处创建了四个用户,并将这些用户加入到user用户组中。

sudo useradd -m user; echo "userxxx" | sudo passwd  --stdin data
sudo useradd -m user1; echo "user1xxx" | sudo passwd  --stdin data
sudo useradd -m user2; echo "user2xxx" | sudo passwd  --stdin data
sudo useradd -m user3; echo "user3xxx" | sudo passwd  --stdin data
sudo usermod -G user user1
sudo usermod -G user user2
sudo usermod -G user user3

2. 创建Azkaban用户和用户组

Azkaban中是通过修改Azkaban-user.xml来创建用户和用户组,Azkaban有一个专门的线程来不断监控Azkaban-user.xml并刷新用户信息到内存中。

<azkaban-users>
    <!--  user config  -->
    <user username="azkaban" password="azkaban" groups="azkaban"/>
    <user username="metrics" password="metrics" groups="metrics"/>
    <user username="user1" password="user1" groups="user"/>
    <user username="user2" password="user2" groups="user"/>
    <user username="user3" password="user3" groups="user"/>

    <!-- group config -->
    <group name="admin" roles="admin"/>
    <group name="metrics" roles="metrics"/>
    <group name="user" roles="ec2-user"/>

    <!-- role config -->
    <role name="admin" permissions="ADMIN"/>
    <role name="metrics" permissions="METRICS"/>
    <role name="user" permissions="ADMIN"/>
</azkaban-users>

具体监控azkaban-user.xml是在XMLUserManager类中调用setupWatch函数进行实现

/**
   * The mandatory UserManager(Props) constructor, which is called via reflection.
   */
  public XmlUserManager(final Props props) {
    this(props, FileWatcher::new);
  }

  XmlUserManager(final Props props, final FileWatcherFactory fileWatcherFactory) {
    this.xmlPath = props.getString(XML_FILE_PARAM);

    parseXMLFile();

    // Create a thread which listens to any change in user config file and
    // reloads it.
    final Map<String, ParseConfigFile> parseConfigFileMap = new HashMap<>();
    parseConfigFileMap.put(this.xmlPath, this::parseXMLFile);
    try {
      UserUtils.setupWatch(parseConfigFileMap, fileWatcherFactory.get());
    } catch (final IOException e) {
      logger.warn("Failed to create WatchService", e);
    }
  }

3. 配置execute-as-user

拷贝Azkaban代码中 azkaban/az-exec-util/src/main/c/execute-as-user.c到Azkaban Executor机器上的Azkaban Executor目录
使用 gcc execute-as-user.c -o execute-as-user 命令编译
然后使用chown root execute-as-user 和 chmod 6050 execute-as-user 设置权限
如果我们要把这个文件复制到其他目录下,就又会变成普通文件,则需要重新再进行一次复制。

---Sr-s--- 1 root root 10185 May 29 06:45 execute-as-user

4. 修改Azkaban源码,禁用user-to-proxy

在Azkaban ProcessJob.java文件中添加一个参数enable.user.to.proxy,并且默认设置为false。当enable.user.to.proxy为false的时候,则不允许Azkaban设置提交作业的user,必须以登录Azkaban Webserver的用户执行flow,具体代码修改如下所示。

private static final String ENABLE_USER_TO_PROXY = "enable.user.to.proxy";

/**
 * <pre>
 * Determines what user id should the process job run as, in the following order of precedence:
 * 1. whether enable USER_TO_PROXY && USER_TO_PROXY
 * 2. SUBMIT_USER
 * </pre>
 *
 * @return the user that Azkaban is going to execute as
 */
private String getEffectiveUser(final Props jobProps) {
  String effectiveUser = null;
  if (this.getSysProps().getBoolean(ENABLE_USER_TO_PROXY, false) 
      && jobProps.containsKey(JobProperties.USER_TO_PROXY)) {
    effectiveUser = jobProps.getString(JobProperties.USER_TO_PROXY);
  } else if (jobProps.containsKey(CommonJobProperties.SUBMIT_USER)) {
    effectiveUser = jobProps.getString(CommonJobProperties.SUBMIT_USER);
  } else {
    throw new RuntimeException(
        "Internal Error: No user.to.proxy or submit.user in the jobProps");
  }
  info("effective user is: " + effectiveUser);
  return effectiveUser;
}
进击的大波
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
azkabanexecute讲解
05-16 1211
Notification The notification options allow users to change the flow’s success or failure notification behavior. Notify on Failure ● First Failure - Send failure emails after the first failure is d...
azkaban集群模式安装与execute-as-user配置
weixin_33824363的博客
08-02 447
因为Segmentfault的文章发布审核对格式要求太严格了,我去简书了 地址在这里https://www.jianshu.com/p/bff11c87565b
azkaban-web和azkaban-exec的一键启动和关闭(shell脚本)
LFQ244117370的博客
07-26 887
#!/bin/bash AZKABAN_WEB_PATH=/usr/local/azkaban-web-server AZKABAN_EXEC_PATH=/usr/local/azkaban-exec-server case $1 in start) #开启两个exec server for host in hadoop02 hadoop03 do echo "---------------------$host-----------------------" ssh.
Azkaban使用
qq_36864672的博客
10-25 840
https://azkaban.github.io/azkaban/docs/latest/#how-to 创建一个流程: 一个流程是一个依赖其他job的job。其他依赖项经常会运行在这个流程job之前。 1 #this is flow bar.job 2 type=command 3 dependencies=test 4 command=echo bar 这个job依赖于之前的tes...
Hadoop安全模式如何解除(azkaban进行文件创建)
Deltao_Taic的博客
09-04 222
异常: 解决方案: 使用如下命令解除安全模式 bin/hadoop  dfsadmin -safemode leave
azkaban-3.84安装包(免编译)
04-16
azkaban是一个任务调度器,在官网中azkaban只提供了源码,我们需要自己编译,但是azkaban在编译的过程中因为网络原因总是编译失败
azkaban-exec-server-0.1.0-SNAPSHOT.tar.gz
09-27
azkaban-exec-server-0.1.0-SNAPSHOT.tar.gz
azkaban-solo-server.zip
08-07
Azkaban是由Linkedin开源的一个批量工作流任务调度器。用于在一个工作流内以一个特定的顺序运行一组工作和流程。Azkaban定义了一种KV文件格式来建立任务之间的依赖关系,并提供一个易于使用的web用户界面维护和跟踪...
Azkaban2.5.0 executor-server、web-server下载
10-21
azkaban-executor-server-2.5.0-tar.gz azkaban-web-server-2.5.0-tar.gz azkaban-sql-script-2.5.0-tar.gz
azkaban
又小雨的博客
07-25 328
一、简介 场景: 在做离线数仓的时候需要按照 一定的顺序定时的执行一些固定的job。这个工作流程中 的任务调度就交给azkaban来做。 大数据中场常用的类似 工具还有:oozie ceontab airflow等 特性: 可以利用cron表达式保证job按照规定的时间进行执行 可以兼容 任意版本 的hadoop 提供了友好的webUI 界面,可以通过界面 直接操作job 基于Java开发,代码结构清晰,易于二次开发 提供认证和授权 重试失败的job 结构: 关系型数据库(MySQL) Azkab
Linux -azkaban部署
qq_52211469的博客
06-01 603
linux 部署 azkaban
azkaban的安全漏洞,禁用TRACE
dengwei_dw的专栏
05-19 1133
azkaban的安全漏洞: Sun Java System Application Server 7和7 2004Q2的默认设置可以启动HTTP TRACE路径, 更易于远程攻击者通过一个跨站追踪工具窃取cookies和验证信任, 该问题与CVE-2004-2763和CVE-2005-3398相关 参考azkaban的github https://github.com/azkaban/azkaban/pull/2044 https://github.com/azkaban/azkaban/pull/2
Not permitted to proxy as 'azkaban' through Azkaban原因
来点Java
08-14 552
14-08-2019 19:23:49 CST foo INFO - effective user is: azkaban 14-08-2019 19:23:49 CST foo INFO - effective user is: azkaban 14-08-2019 19:23:49 CST foo ERROR - Job run failed! java.lang.RuntimeExcept...
Azkaban 使用问题记录
harvey的博客
06-06 4678
Cannot request memory (Xms 0 kb, Xmx 0 kb) from system for job hello, sleep for 60 secs and retry, attempt 1 of 720 错误原因:azkaban默认需要3G的内存,剩余内存不足则会报异常 解决方法: 在azkaban-exec/servcer/plugin/azkaban-...
Azkaban4.0.0搭建以及错误记录
m0_50851626的博客
08-05 717
4.0.0最大的改动就是支持k8s容器化部署,同时部分功能进行了恢复,之前老版本好用的功能在3.9.0版本后被取代了,现在恢复,目前测试下来azkaban4.0还是很稳定的。
Azkaban各模式的启动和关闭
qq_33190134的博客
09-15 1787
solo模式(第三台) bin/start-solo.sh 在/export/servers/azkaban/azkaban-solo-server-0.1.0-SNAPSHOT文件夹里 开启tow-server模式(第二台) bin/start-exec.sh 在/export/servers/azkaban/azkaban-exec-server-0.1.0-SNAPSHOT目录下执行 curl -G “node02:$(<./executor.port)/executor?action=a
Azkaban基础操作
Angry_Charlie的博客
08-09 155
Azkaban
Java基础加强总结(三)——代理(Proxy)
weixin_33919941的博客
11-11 758
一、代理的概念   动态代理技术是整个java技术中最重要的一个技术,它是学习java框架的基础,不会动态代理技术,那么在学习Spring这些框架时是学不明白的。   动态代理技术就是用来产生一个对象的代理对象的。在开发中为什么需要为一个对象产生代理对象呢?  举一个现实生活中的例子:歌星或者明星都有一个自己的经纪人,这个经纪人就是他们的代理人,当我们需要找明星表演时,不能直接找到该明星,只能...
电影推荐系统服务器启动/关闭命令
caicai_yuan的博客
03-25 1851
1 .mongodb 开启: ./mongod --dbpath=/home/bigdata/cluster/mongodb/data/ --logpath=/home/bigdata/cluster/mongodb/logs --fork 查看进程:pstree -p | grep mongod 或者pstree -p | grep mongo 关闭:kill -4 进程号 2.防火墙 servi...
cd /usr/local/azkaban/azkaban-web
最新发布
11-01
在这个目录下,你可以执行一些与azkaban-web相关的操作,例如启动或停止azkaban-web服务,修改配置文件等等。 如果你想将azkaban-web-server的安装路径切换到/usr/local/azkaban/azkaban-web,你可以使用以下命令:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值