sparkThriftserver 长时间运行HDFS_DELEGATION_TOKEN失效问题

最新推荐文章于 2022-11-09 23:34:25 发布
最新推荐文章于 2022-11-09 23:34:25 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: spark 文章标签: spark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zeng6325998/article/details/106192404
版权

参考资料:https://github.com/apache/spark/pull/9168

1、背景

sparkThriftserver 运行一天后,有人反馈查询报错,我自己测试了下,确实如此

org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (HDFS_DELEGATION_TOKEN token 93611 for hadoop) can’t be found in cache

这里学了下HDFS_DELEGATION_TOKEN 相关的知识,然后做出解答

2、问题原因解析

在上述https://github.com/apache/spark/pull/9168中,我将问题原因简单解释下。
在hadoop HA模式下,有三种tokens
1、ha token
2、namenode1 token
3、namenode2 token
Spark通过调用UserGroupInformation.getCurrentUser.addCredentials(tempCreds)来更新ha令牌,HAUtil.cloneDelegationTokenForLogicalUri会将ha令牌复制到namenode令牌。

spark 所做的操作

1、原理

spark 为了解决DT失效问题,加了两个参数”–keytab”和”–principal”,分别指定用于kerberos登录的keytab文件和principal。

–keytab参数指定一个keytab文件,Spark会根据–keytab指定的Kerberos认证文件生成 HDFS Token,然后再将生成的Token信息放到HDFS的某一个目录中供Executor和Driver使用。

Spark ApplicationMaster在Delegation Token将要失效的时候(75% of the renewal interval) 会通过Keytab文件重新认证并获取一个新的Delegation Token,然后将新的Delegation Token写入到指定的HDFS文件中;
Spark Executor在Delegation Token将要失效的时候(80% of the validity)读取HDFS上的最新的Delegation Token文件,然后更新自己的Delegation Token;
理论上这样就能解决掉Token过期的问题,然而在配置了HA的Hadoop集群上2.9.0之前的版本依然存在问题,问题在于配置了HA的Hadoop集群中,Executor读取新的Token信息之后只更新的HDFS的逻辑地址,而未同步更新真正的HDFS Namenode URI对应的Token,从而导致Namenode URI下面的Token会慢慢过期失效。

2、详情

1、Spark AM将获得HDFS Delegation Token(称为hatoken)并将其添加到当前用户的凭证中。
“ha-hdfs:hadoop-namenode” -> “Kind: HDFS_DELEGATION_TOKEN, Service: ha-hdfs:hadoop-namenode, Ident: (HDFS_DELEGATION_TOKEN token 328709 for test)”.

2、DFSClient将为每个NameNode生成另外2个令牌(namenode Token)。
“ha-hdfs://xxx.xxx.xxx.xxx:8020” -> “Kind: HDFS_DELEGATION_TOKEN, Service: xxx.xxx.xxx.xxx:8020, Ident: (HDFS_DELEGATION_TOKEN token 328709 for test)”
“ha-hdfs://yyy:yyy:yyy:yyy:8020” -> “Kind: HDFS_DELEGATION_TOKEN, Service: yyy:yyy:yyy:yyy:8020, Ident: (HDFS_DELEGATION_TOKEN token 328709 for test)”

3、当Spark更新ha token时,DFSClient不会自动生成namenode token。
DFSClient将仅使用namenode token和2个Namenode通信。

4 FileSystem具有缓存,调用FileSystem.get将获得一个缓存的DFSClient,该缓存具有旧的namenode token。
Spark仅更新ha令牌,但DFSClient将使用namenode token。

所以造成了失效的情况

3、解决

通过spark.hadoop.fs.hdfs.impl.disable.cache=true 配置来禁用缓存,拿到最新DFSClient来更新namenode token。这样就不会有这个问题了。

相关

关于hadoop的token的学习参考资料:
https://blog.cloudera.com/hadoop-delegation-tokens-explained/#comment-83166

早点起床晒太阳
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN [email protected], renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, masterKeyId=1583) is expired, current time: 2020-02-17 16:37:40,567+0800 expected renewal time: 2020-02-17
Spark 管理和更新Hadoop token 流程
最新发布
半日闲的博客
09-08 686
Spark AM 和 Executor 更新收到的 tokens。定时 Refresh tokens。启动 token manager。
Delegation Token can be issued only with kerberos or web authentication
wk022的专栏
04-21 5165
在进行spark开发的时候遇到了这样的问题: User class threw exception: org.apache.hadoop.ipc.RemoteException(java.io.IOException): Delegation Token can be issued only with kerberos or web authentication at or
hdfs delegation token 过期问题分析
qq_41587243的博客
12-31 3948
什么是delegation token delegation token其实就是hadoop里一种轻量级认证方法,作为kerberos认证的一种补充。理论上只使用kerberos来认证是足够了,为什么hadoop还要自己开发一套使用delegation token的认证方式呢?这是因为如果在一个很大的分布式系统当中,如果每个节点访问某个服务的时候都使用kerberos来作为认证方式,那么势必对KDC造成很大的压力,KDC就会成为一个系统的瓶颈。 与kerberos的区别 kerberos认证需三方参与,cl
Spark2.0.2源码分析——Application的注册启动(yarn-client 模式下)
myllxy
01-28 852
以 yarn-client 模式为例,紧接上文TaskScheduler 启动最后一步如下: 我们最后是 new 了一个 YarnClientSchedulerBackend 的实例,并执行 YarnClientSchedulerBackend 中的 .start() 方法: override def start() { val driverHost = conf.get("sp...
记一次HDFS Delegation Token失效问题
迹_Jason
01-17 5335
由于我们团队是最近上的 Kerberos ,免不了会出现一些问题,现阶段还处于踩坑阶段。希望通过我们的填坑的经历,帮助到同样身处坑内的伙伴。我们使用的 Hortonworks-HDP 环境。 HDFS Delegation Token 问题被发现于一个 Long Running 的 Spark 应用。由于发布周期原因,部分应用超过了 7 天的有效期时间,突然在同一时间,爆发出来。当时觉得很诡异,在...
hadoop token过期问题
m0_67400973的博客
04-03 1267
1、Token 过期问题 Failed to Update HDFS Delegation Token for long running application in HA mode 参见 https://issues.apache.org/jira/browse/HDFS-9276 https://github.com/apache/spark/pull/9168 错误信息: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.
Spark与hdfs delegation token过期的排查思路总结
三劫散仙
11-09 2026
hadoop delegation token的问题相对比较混乱和复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
待解决hbase异常
myrainblues的专栏
03-26 4500
org.apache.hadoop.security.token.SecretManager$InvalidToken: access control error while attempting to set up short-circuit access to /apps/hbase/data/data/default/data ReportInfo/fd73633b33d70564224c
hdfs_design 高清完整中文版PDF下载
02-26
hdfs_design 高清完整中文版PDF下载 hdfs_design 高清完整中文版PDF下载
doris 0.15版本 中的 apache_hdfs_broker 插件
01-28
已对doris 0.15版本中的apache_hdfs_broker组件进行了编译,可以直接使用此包进行 分发,修改配置文件,启动(之前需要对doris进行安装启动) *** 对应的doris0.15安装包链接如下:...
hdfs.zip_hdfs_hdfs java
09-20
java语言编写,实现将本地文件上传到hdfs上,以及从hdfs上下载文件
hdfs_video_jar.zip_HDFS video_Hadoop 文件_hdfs_hdfs下MP4视频播放
09-24
打开hdfs下MP4文件Hadoop平台的应用因为初次接触望点评改进
Spark Security面面观
为一个人走几座城
03-01 857
一、背景 作为一款成熟的商业软件,安全往往鲜少被提及但又不可忽略,大数据软件也是如此。在生产环境中,对于一款成熟的大数据软件的考量,不仅需要考虑其功能完备性和性能,同时安全也是不可缺少的一环。为什么安全如此重要呢? 首先,商业环境通常是多租户环境,不同的用户/组对于不同的数据/应用有不同的安全考量。我们需要保证相应的用户不能做出超越权限的操作。 同时,分布式架构会将端口、数据暴露出去,如...
Spark 框架安全认证实现
hellozhxy的博客
11-28 2830
导言 随着大数据集群的使用,大数据的安全受到越来越多的关注一个安全的大数据集群的使用,运维必普通的集群更为复杂。 集群的安全通常基于kerberos集群完成安全认证。kerberos基本原理可参考:一张图了解Kerberos访问流程 Spark应用(On Yarn模式下)在安全的hadoop集群下的访问,需要访问各种各样的组件/进程,如ResourceManager,NodeManager,N...
Spark Kubernetes 的源码分析系列 - features
runzhliu大数据/容器日记
07-08 377
文章目录1 Overview2 分析2.1 BasicDriverFeatureStep2.2 DriverKubernetesCredentialsFeatureStep2.3 DriverServiceFeatureStep2.4 MountSecretsFeatureStep2.5 EnvSecretsFeatureStep2.6 LocalDirsFeatureStep2.7 MountV...
access control error while attempting to set up short-circuit
Data & Analysis
10-19 776
due to InvalidToken exception. org.apache.hadoop.security.token.SecretManager$InvalidToken: access control error while attempting to set up short-circuit access to /apps/hbase/data/data/inspur_15/GSD_PERSON_PHOTO_NEW/3aa84f6c9e1d6dd279514911edf18a36/info/
error: invalid hadoop_hdfs_home
06-28
### 回答1: 这个错误提示表示 Hadoop 找不到正确的 HDFS 安装路径。你需要检查 Hadoop 配置文件中的 hadoop_hdfs_home 参数是否正确设置,或者确认 HDFS 是否已经正确安装并设置了环境变量。 ### 回答2: Hadoop 是一款大数据处理框架,需要依赖 Hadoop HDFS 存储系统。在配置 Hadoop 环境时,需要设置环境变量 HADOOP_HDFS_HOME,以指定 Hadoop HDFS 的安装路径。当出现 "error: invalid hadoop_hdfs_home" 错误时,意味着系统无法识别该环境变量,即 Hadoop HDFS 安装路径无效。 解决该问题的方法是检查环境变量的设置是否正确。首先在命令行界面输入 echo $HADOOP_HDFS_HOME 命令,以检查系统是否能识别该环境变量。如果该命令无法输出正确的路径,则需要修改环境变量的设置。 可以在 ~/.bashrc 或 ~/.bash_profile 文件中添加以下环境变量设置语句: export HADOOP_HDFS_HOME=/path/to/hadoop-hdfs 其中,/path/to/hadoop-hdfs 是 Hadoop HDFS 的安装路径。设置好这个环境变量之后,可以输入 source ~/.bashrc 或 source ~/.bash_profile 命令,以使环境变量的改动生效。 另外,还可通过设置 Hadoop 的配置文件来修改 Hadoop HDFS 的安装路径。可以在 Hadoop 配置文件 core-site.xml 中添加以下配置: <property> <name>hadoop.hdfs.home</name> <value>/path/to/hadoop-hdfs</value> </property> 在以上配置中,/path/to/hadoop-hdfs 是 Hadoop HDFS 的安装路径。保存好配置文件后,重新启动 Hadoop,即可解决 "error: invalid hadoop_hdfs_home" 错误。 ### 回答3: 这个错误信息意味着在运行hadoop相关命令时,系统无法找到指定的hadoop_hdfs_home环境变量。hadoop_hdfs_home是一个关键的环境变量,用于指定hadoop分布式文件系统(HDFS)的安装目录。如果系统无法找到或者无法识别该环境变量,就会出现invalid错误提示。 要解决这个问题,可以尝试以下步骤: 1.检查hadoop_hdfs_home环境变量是否正确设置,可以通过运行echo $hadoop_hdfs_home命令来确认该环境变量的值是否正确。 2.如果hadoop_hdfs_home环境变量未设置,可以通过手动设置该变量或者运行hadoop-env.sh脚本来设置该变量。 3.如果hadoop_hdfs_home环境变量设置正确,但仍然无法正常运行hadoop相关命令,可以尝试重新安装hadoop,并确保正确配置了环境变量。 4.最后,如果你还是无法解决这个问题,可以查看系统日志文件或运行hadoop日志命令来查找更详细的信息和错误提示,以帮助你进一步解决该问题。 总之,如果出现invalid hadoop_hdfs_home错误提示,需要确认hadoop_hdfs_home环境变量设置是否正确,并根据具体情况采取适当措施,以解决此问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值