YARN鉴权设计以及Kerberos鉴权方法

最新推荐文章于 2024-08-26 23:38:02 发布
最新推荐文章于 2024-08-26 23:38:02 发布
阅读量920 收藏 22
点赞数 19
分类专栏: 大数据 Yarn 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845924/article/details/135673307
版权

文章目录

鉴权,分别由组成

  • : 表示身份认证,认证相关用户是否存在以及相关的用户名和密码是否一致
  • : 完成身份的后,还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说,通常情况下,需要完成才能够满足一个完整的业务场景,因此通常将鉴权放在一起考量。本文探讨yarn的鉴权常用的鉴权方式以及kerberos鉴权方式的相关方法。

1. Yarn鉴权方式整理

yarn本身在最开始进行设计时,并没有考虑鉴权相关设计,而是以满足大数据的业务场景作为优先要务,因此最开始时只有简单认证模式。等后续经过一定程度的发展,发现鉴权越来越成为业务的需要,因此才将鉴权作为一个功能进行设计。在设计上也是充分利用现有的框架或者外部的认证系统,yarn对接相关的认证系统接口,从而完成高效(偷懒)的实现鉴权功能。

目前YARN有支持两种用户身份认证:简单认证kerberos认证

简单认证: 基于客户端进程所在的Linux/Unix系统的当前用户名来进行认证。只要用户能正常登录操作系统就认证成功。这样客户端与NameNode交互时,会将用户的登录账号(与whoami命令输出一致)作为合法用户名传给Namenode。 这样的认证机制存在恶意用户可以伪造其他人的用户名的风险,对数据安全造成极大的隐患,线上生产环境一般不会使用。简单认证模式下,采集的鉴权模式跟linux系统一致,使用UGO(user、group、other)模式,相关的acl跟linux系统类似,本文不在追述。

drwxrwxrwt   - yarn   hadoop          0 2020-01-20 15:42 /app-logs
drwxr-xr-x   - yarn   hadoop          0 2020-01-20 15:40 /ats
drwxr-xr-x   - yarn   yarn            0 2020-01-20 15:40 /hdp
drwxr-xr-x   - mapred yarn            0 2020-01-20 15:40 /mapred
drwxrwxrwx   - mapred hadoop          0 2020-01-20 15:40 /mr-history
drwxrwxrwx   - yarn   yarn            0 2020-01-20 15:41 /tmp
drwxr-xr-x   - yarn   yarn            0 2020-01-20 15:40 /user
drwxr-xr-x   - yarn   yarn            0 2020-01-20 15:40 /warehouse

kerberos认证: kerberos是一个网络认证协议,其使用密钥加密技术为客户端和服务端应用提供强认证功能。它有一个管理端(AdminServer)用于管理所有需要认证的账号信息,另外还有若干的密钥分发服务器(KDC)用于提供认证和分发密钥服务。 用户从 Kerberos 管理员处获取对应的 Kerberos 账号名或者密钥文件,然后通过 kinit 等方式认证Kerberos,拿到TGT(ticket-granting-ticket)票据。客户端会将TGT信息传输到NN端,NN在获取到认证信息后,将principle首部截取出来作为客户端的用户名。例如使用 todd/foobar@CORP.COMPANY.COM认证成功后, da作为principle的首部会作为该客户端的用户名使用。 使用Kerberos可以极大增强YARN的安全性,特别是在多租户的生产环境下。

2. Kerboers鉴权模式

kerberos鉴权模式,主要是基于yarn内部集群以及相关的客户端的提交限制,是常规使用的鉴权模式。参考文档HDFS鉴权设计以及Kerberos鉴权方法

3. 疑问和思考

3.1 如果希望基于yarn进行多租户的权限管理该如何设计?

一种能够实现的方式是, 在外层封装相关接口,租户层面申请一个用户,然后底层调用接口进行
1, kerberos认证依赖principal和需要签发相关的keytab
或者
2, 在所有部署yarn、hdfs的linux服务器上创建相关的账户

将申请的账号提供给相关租户,相关租户使用对应的账号、密码进行任务的提交。

流程图如下
kerberos
普通认证
权限申请
统一接口
鉴权方式?
签发principal和相关的keytab
返回给租户
所有相关linux服务器创建相关用户
结束

如上的设计方式,在功能开发上也会面临问题,没有相关的统一接口,由于涉及ssh类型操作,难以形成事务型操作,整体流程上容易出现失败从而导致创建失败。

6. 参考文章

李姓门徒
关注
  • 19
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop 未授权访问【原理扫描】及Apache Hadoop YARN 资源管理器 REST API未授权访问漏洞【原理扫描】修复记录
萌兔兔MMQ!!
01-10 3029
Hadoop相关未授权访问漏洞风险较高且使用hadoop的用户比较多,经常在安全检查用遇到这两个漏洞。 修复方法也就是按绿盟扫描器提供的方法: 一、对于Apache Hadoop YARN 资源管理器 REST API未授权访问漏洞【原理扫描】: 方法1.在防火墙上设置“安全组”访问控制策略,将 HadoopWebUI(8088) 等相关端口限制可信任的 IP 地址才能访问。 方法22.将默认认证方法改为KerBeros认证。 但我目前遇到过的管理员没有愿意将hadoop采用KerBeros认证的,看了
Hadoop的安全模式——hadoop2.2.0的Kerberos的配置
may_violin的专栏
11-17 2720
我的环境: Red Hat Enterprise Linux Server release 5.5 (查看系统版本的命令:lsb_release -a)  64位 Java 环境:jdk1.7.0_51 Hadoop环境:最先开始使用的是未编译的hadoop2.3.0,最后使用的是编译过的hadoop2.2.0。二者配置过程差不多,但是64位的系统一定要先编译源码!!! 1.had
YARN配置Kerberos认证
weixin_33918114的博客
04-08 2238
关于 Kerberos 的安装和 HDFS 配置 kerberos 认证,请参考HDFS配置kerberos认证。 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角色规划为: 192.168.56.121 cdh1 N...
计算机安全基础:认证技术知识笔记
IT技术分享社区
10-02 678
1、认证技术介绍认证技术主要是用来解决网络通信过程中通信双方身份的认可。认证的过程涉及加密和密钥交换。认证方一般都会有账户名、口令、使用摘要算法和基于PK...
CDH6.1中启用Kerberos
yangbosos的博客
03-21 5668
Fayson介绍了《0491-如何在Redhat7.4安装CDH6.1》,这里我们基于这个环境开始安装KerberosKerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloude...
kerberos体系下的应用(yarn,spark on yarn)
hellozhxy的博客
11-28 3063
kerberos 介绍 阅读本文之前建议先预读下面这篇博客kerberos认证原理---讲的非常细致,易懂 Kerberos实际上一个基于Ticket的认证方式。Client想要获取Server端的资源,先得通过Server的认证;而认证的先决条件是Client向Server提供从KDC获得的一个有Server的Master Key进行加密的Session Ticket(Session K...
yarn上配置kerberos(十二)
forever19870418的博客
04-06 3579
一、创建认证规则 二、创建Keytab文件 三、部署Kerberos Keytab文件 四、修改YARN配置文件,包括 1)yarn-site.xml 2)mapred-site.xml 3)container-executor.cfg 五、启动服务 六、测试 实施步骤 1、创建认证规则 [root@cdh1 training]# kadmin.local -q "a
12、kerberos&LDAP 安全密钥管理技术
KamRoseLee的博客
11-16 2240
1.Kerberos&LDAP 简介 (1)Kerberos 是安全认证的概念,该系统设计上采用客户端/服务器结构与 DES、 AES 等加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止 reply 攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos 基本概念: 票据授权票据 (TGT Ticket...
hadoop中的token认证
hncscwc的博客
05-12 1419
周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。【Hadoop为什么需要Token】hadoop最初的实现中并没有认证机制,这意味着存储在hadoop中的数据很容易泄露。后来,基于kerberos认证的安全特性被加入到hadoop中,但是基于kerberos认证在使用过程中,会存在以下问题:过程比较复杂,认证过程中还需要涉及到...
Hadoop 2.0 (YARN)中的安全机制概述
原创学无止尽
12-10 4534
写在前面 安全管理是Hadoop中最复杂的、最难懂和最晦涩的模块,涉及到Hadoop的各个分支和每个分支的各个服务与组件,为了方便大家详细了解Hadoop内部的安全机制实现和各个验证流程,Apache正在编写一个文档,具体可参考HADOOP-9621,注意,附件中的几个pdf不是最新的,想要查看最新文档,可查看google doc上这个链接:Hadoop YARN Security
Kerberos安全认证-连载8-Hadoop Kerberos安全配置
qq_32020645的博客
06-07 1819
当使用Kerberos对Hadoop进行数据安全管理时,需要使用LinuxContainerExecutor,该类型Executor只支持在GNU / Linux操作系统上运行,并且可以提供更好的容器级别的安全性控制,例如通过在容器内运行应用程序的用户和组进行身份验证,此外,LinuxContainerExecutor还可以确保容器内的本地文件和目录仅能被应用程序所有者和NodeManager访问,这可以提高系统的安全性。
Java集成Yarn并操作集群的Yarn资源
qq_37928228的博客
06-05 1107
Java集成Yarn并操作集群的Yarn资源
关于Yarn源码的那些事(四)
夜阑听风
05-12 1249
紧接着系列(三)。前面的介绍,基本都比较浅显易懂,讲述了Yarn的Client提交新的Application给ResourceManager,后者返回唯一的ID。本文索要讲的,是RM端如何把Application的ApplicationMaster给启动起来的。力求通俗易懂,但是看起来没那么容易。追溯下来,我们发现第二次提交Application的逻辑,是由YarnRunner来实现的,实现如下:...
八.SpringCloud+Security+Oauth2实现微服务授权 - 常见的微服务授权方案
墨家巨子@俏如来
09-25 5959
系列文章目录 一.SpringSecurity基础-认证和授权概述 二.SpringSecurity基础-简单登录实现 三.SpringSecurity基础-认证原理&改造登录流程 四.SpringSecurity基础-授权流程 五.SpringSecurity基础-认证授权结果处理 六.SpringSecurity基础-记住我功能实现 前言 前面我们讨论的是SpringSecurity基础部分内容,接下来我们来探讨一下SpringCloud 集成 SpringSecurity和Oauth实现微
YARN、Spark、Hive使用kerberos
热门推荐
一只刚刚上路的猿
02-20 1万+
本文记录YARN、Spark、Hive各服务配置使用kerberos的过程。 我的环境: 三台服务器,分别命名为zelda1、zelda2、zelda3ubuntu 14.04hadoop 2.7.2spark 2.0/1.6.1 YARN认证 目的是将YARN接入到kerberos集群里,使得: RM和NM之间能互相认证,避免混进去恶意服务;其他提交到YARN上的J
Yarn配置kerberos认证
weixin_33755554的博客
09-05 503
2019独角兽企业重金招聘Python工程师标准>>> ...
基于Python的热门旅游景点数据分析系统【python-爬虫-大数据定制】
m0_73272351的博客
08-26 894
随着信息技术的飞速发展和全球化的不断推进,旅游已成为人们生活中不可或缺的一部分。旅游业的繁荣不仅促进了经济的增长,也丰富了人们的精神文化生活。然而,面对日益增长的旅游需求和复杂的旅游市场环境,如何有效地分析和预测热门旅游景点的人流、消费趋势以及服务质量,成为了旅游管理和规划中的关键问题。Python作为一种强大的编程语言,以其简洁的语法和丰富的库支持,为数据分析提供了强大的工具。基于Python的热门旅游景点数据分析系统,正是在这样的背景下应运而生。
Hive SQL
最新发布
08-26 698
tinyint 1byte 有符号整数smallint 2byte 有符号整数int 4byte 有符号整数bigint 8byte 有符号整数boolean 布尔类型,true或者falsefloat 单精度浮点数double 双精度浮点数decimal 十进制精准数字类型 decimal(16,2)
Hadoop YARN深度解析:架构设计与实现揭秘
此外,书中详细讲述了YARN应用程序的设计方法,详细解析了ResourceManager、资源调度器和NodeManager等关键组件的工作原理。 第三部分关注了在YARN上运行的不同计算框架。书中详细讨论了MapReduce(离线计算)、Tez...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值