基于kerberos认证的yarn的多队列资源隔离机制

于 2024-08-07 10:09:14 发布
阅读量371 收藏 8
点赞数 10
分类专栏: 大数据 文章标签: java 前端 大数据 yarn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yll_358918552/article/details/140980914
版权

最近在搞公司数据中台,调研linkis如何与yarn的资源协调,如何做到用户提交和资源的隔离的?

将调研的结果做个记录,欢迎大家访问我的程序员资料网站java-broke.site,获取更多大数据、架构和面试题。

在启用了Kerberos认证的YARN环境中,多队列资源隔离机制可以帮助实现不同用户和应用之间的资源隔离和公平分配。下面我将详细介绍基于Kerberos认证的YARN多队列资源隔离机制的工作原理和配置示例。

YARN多队列资源隔离机制

YARN通过队列机制来实现资源的隔离和分配。每个队列都可以有自己的资源分配策略和限制,从而确保不同用户和应用之间的资源公平分配。

Kerberos认证

Kerberos认证用于确保只有经过认证的用户才能提交作业或访问资源。用户需要使用正确的密钥表文件(keytab)并通过kinit命令获取有效的票据(Ticket Granting Ticket, TGT),才能成功认证并提交作业到YARN。

配置示例

以下是一个基于Kerberos认证的YARN多队列资源隔离机制的配置示例。

1. 配置队列

yarn-site.xml中定义队列及其属性。

<configuration>
  <!-- 定义根队列 -->
  <property>
    <name>yarn.scheduler.capacity.root.queues</name>
    <value>team-a,team-b,team-c</value>
  </property>

  <!-- 配置每个队列的资源分配 -->
  <property>
    <name>yarn.scheduler.capacity.root.team-a.capacity</name>
    <value>40</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-b.capacity</name>
    <value>30</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-c.capacity</name>
    <value>30</value>
  </property>

  <!-- 设置队列的最大容量 -->
  <property>
    <name>yarn.scheduler.capacity.root.team-a.maximum-capacity</name>
    <value>40</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-b.maximum-capacity</name>
    <value>30</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-c.maximum-capacity</name>
    <value>30</value>
  </property>

  <!-- 配置队列的调度策略 -->
  <property>
    <name>yarn.scheduler.capacity.root.team-a.ordering-policy</name>
    <value>fair</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-b.ordering-policy</name>
    <value>fifo</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-c.ordering-policy</name>
    <value>fifo</value>
  </property>

  <!-- 配置队列状态 -->
  <property>
    <name>yarn.scheduler.capacity.root.team-a.state</name>
    <value>RUNNING</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-b.state</name>
    <value>RUNNING</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-c.state</name>
    <value>RUNNING</value>
  </property>

  <!-- 设置队列的父队列 -->
  <property>
    <name>yarn.scheduler.capacity.root.team-a.parent</name>
    <value>root</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-b.parent</name>
    <value>root</value>
  </property>
  <property>
    <name>yarn.scheduler.capacity.root.team-c.parent</name>
    <value>root</value>
  </property></configuration>
2. 启用Kerberos认证

core-site.xml中启用Kerberos认证。

<configuration>
  <property>
    <name>hadoop.security.authentication</name>
    <value>kerberos</value>
  </property></configuration>
3. 配置NodeManager和ResourceManager

yarn-site.xml中配置NodeManager和ResourceManager以支持Kerberos认证。

<configuration>
  <!-- 配置ResourceManager -->
  <property>
    <name>yarn.resourcemanager.principal</name>
    <value>yarn/_HOST@EXAMPLE.COM</value>
  </property>
  <property>
    <name>yarn.resourcemanager.keytab</name>
    <value>/etc/security/keytabs/yarn.service.keytab</value>
  </property>

  <!-- 配置NodeManager -->
  <property>
    <name>yarn.nodemanager.principal</name>
    <value>yarn/_HOST@EXAMPLE.COM</value>
  </property>
  <property>
    <name>yarn.nodemanager.keytab</name>
    <value>/etc/security/keytabs/yarn.service.keytab</value>
  </property></configuration>
4. 获取Kerberos票据

用户需要通过kinit命令获取Kerberos票据,以便提交作业到YARN。

kinit alice@EXAMPLE.COM -kt /path/to/alice.keytab
5. 提交作业到特定队列

用户可以使用-queue参数指定提交作业到哪个队列。

yarn jar my-job.jar -queue team-a

总结

通过上述配置,您可以实现在启用了Kerberos认证的YARN环境中使用多队列资源隔离机制。这确保了不同用户和应用之间的资源隔离和公平分配。Kerberos认证进一步增强了安全性,确保只有经过认证的用户才能访问和使用资源。

程序员秋天
关注
专栏目录
深入理解ApplicationMaster中的资源隔离机制
AI天才研究院
06-04 1029
深入理解ApplicationMaster中的资源隔离机制 1.背景介绍 在大数据时代,Apache Hadoop作为一种分布式计算框架,已经成为企业级数据处理的核心基础设施之一。随着数据量的不断增长和计算需求的日益复杂,对Hadoop集群资源的高效利用和隔离管理变
【面试系列】YARN 高频面试题解答
最新发布
在路上的专栏
09-10 295
本文针对 YARN 的初级、中级和高级面试问题进行了详细的分析和解答,涵盖了 YARN 的架构设计、资源调度机制、性能优化、容错机制等关键概念。通过对常见面试问题的解析,帮助读者全面掌握 YARN 技术在集群管理中的核心要点,并为面试做足准备。本文最后总结了 YARN 面试中需要掌握的重点知识,包括资源管理、调度优化、安全认证等,以便更好地应对实际应用场景中的挑战。
[ YARN 3.1.x ] 开启Kerberos配置&使用
张伯毅的专栏
03-28 2928
.一 .前言1.1. 环境说明1.2. 服务规划1.3. 安装Kerberos环境1.4. 安装YARN环境二 .安装YARN2.1. 添加用户2.2. 配置YARN相关的Kerberos账户2.2.1. 创建keytab存放目录2.2.2. 配置master01上面运行的服务对应的Kerberos账户2.2.3. 权限设置2.2.4. 编译源码构建Linux-Container-executor2.2.5. 设置 hadoop 需要使用的各个目录的权限2.3. 配置hadoop的 lib/native(
计算机安全基础:认证技术知识笔记
IT技术分享社区
10-02 694
1、认证技术介绍认证技术主要是用来解决网络通信过程中通信双方身份的认可。认证的过程涉及加密和密钥交换。认证方一般都会有账户名、口令、使用摘要算法和基于PK...
yarn上配置kerberos(十二)
forever19870418的博客
04-06 3596
一、创建认证规则 二、创建Keytab文件 三、部署Kerberos Keytab文件 四、修改YARN配置文件,包括 1)yarn-site.xml 2)mapred-site.xml 3)container-executor.cfg 五、启动服务 六、测试 实施步骤 1、创建认证规则 [root@cdh1 training]# kadmin.local -q "a
YARN、Spark、Hive使用kerberos
热门推荐
一只刚刚上路的猿
02-20 1万+
本文记录YARN、Spark、Hive各服务配置使用kerberos的过程。 我的环境: 三台服务器,分别命名为zelda1、zelda2、zelda3ubuntu 14.04hadoop 2.7.2spark 2.0/1.6.1 YARN认证 目的是将YARN接入到kerberos集群里,使得: RM和NM之间能互相认证,避免混进去恶意服务;其他提交到YARN上的J
Spark on Yarn与Flink on Yarn连接kerberos认证的Hbase
jorondo的博客
03-19 1681
Spark和Flink均为分布式计算引擎,在使用yarn作为资源调度器提交任务并且连接拥有Kerberos认证的Hbase时,同时面临着认证文件分发与获取的问题。两者的解决方案也是类似的,现在driver端加载认证文件,存储到分布式缓存,然后再Executor端获取文件目录进行认证. Spark on Yarn driver端 sparkSession.sparkContext.addFi...
05:YARN资源管理系统.zip
03-08
- YARN支持基于Kerberos的身份验证,确保只有授权的用户和服务能访问集群资源。 - 容器级别的隔离机制防止一个应用耗尽所有资源,影响其他应用。 8. **监控与诊断**: - RM、NM和AM都提供了丰富的日志和监控信息...
Hadoop资源管理器YARN详解_2024-07-09_08-51-33
kkchenjj的博客
07-10 1107
通过上述流程和管理机制YARN为Hadoop集群提供了强大的资源管理和任务调度能力,使得Hadoop集群可以支持多种类型的应用程序,提高了集群的利用率和灵活性。YARN (Yet Another Resource Negotiator) 是Hadoop 2.0中引入的资源管理框架,它将资源管理和作业调度/监控分离,使得Hadoop能够更好地支持多种计算框架。YARN的调度器负责资源的分配和调度,确保集群资源的高效利用。:最简单的调度器,按照作业提交的顺序进行调度。
3万字长文-大数据Yarn最全面试题及参考答案(持续更新)
大模型大数据攻城狮的专栏
05-04 306
YARN中,Container是资源的抽象表示,它封装了一定量的系统资源,如内存、CPU、磁盘和网络带宽。资源规格:Container定义了一组资源规格,包括内存大小、CPU核心数等。执行环境:Container提供了一个执行环境,允许任务在其资源限制内运行。隔离性:不同Container之间是相互隔离的,一个Container内的应用程序不能访问另一个Container的资源。生命周期管理:Container有其生命周期,包括初始化、运行、停止和释放资源。任务封装。
YARN配置Kerberos认证
weixin_33918114的博客
04-08 2249
关于 Kerberos 的安装和 HDFS 配置 kerberos 认证,请参考HDFS配置kerberos认证。 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角色规划为: 192.168.56.121 cdh1 N...
kerberos体系下的应用(yarn,spark on yarn)
hellozhxy的博客
11-28 3108
kerberos 介绍 阅读本文之前建议先预读下面这篇博客kerberos认证原理---讲的非常细致,易懂 Kerberos实际上一个基于Ticket的认证方式。Client想要获取Server端的资源,先得通过Server的认证;而认证的先决条件是Client向Server提供从KDC获得的一个有Server的Master Key进行加密的Session Ticket(Session K...
记一次Spark Kerberos的故障解决
chncaesar的专栏
08-13 7962
有同事反馈,Livy Server启动的所有Spark AM失败。Livy启动的Spark AM默认会enableHiveSupport,且使用$LIVY_HOME/conf/livy.conf的如下配置作为spark.yarn.keytab和spark.yarn.kerberos。 livy.server.launch.kerberos.keytab livy.server.launch.k...
八.SpringCloud+Security+Oauth2实现微服务授权 - 常见的微服务授权方案
墨家巨子@俏如来
09-25 6033
系列文章目录 一.SpringSecurity基础-认证和授权概述 二.SpringSecurity基础-简单登录实现 三.SpringSecurity基础-认证原理&改造登录流程 四.SpringSecurity基础-授权流程 五.SpringSecurity基础-认证授权结果处理 六.SpringSecurity基础-记住我功能实现 前言 前面我们讨论的是SpringSecurity基础部分内容,接下来我们来探讨一下SpringCloud 集成 SpringSecurity和Oauth实现微
Yarn配置kerberos认证
weixin_33755554的博客
09-05 509
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员秋天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值