sparkThriftserver 长时间运行HDFS_DELEGATION_TOKEN失效问题

最新推荐文章于 2024-04-26 17:28:17 发布
最新推荐文章于 2024-04-26 17:28:17 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: spark 文章标签: spark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zeng6325998/article/details/106192404
版权

参考资料:https://github.com/apache/spark/pull/9168

1、背景

sparkThriftserver 运行一天后,有人反馈查询报错,我自己测试了下,确实如此

org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (HDFS_DELEGATION_TOKEN token 93611 for hadoop) can’t be found in cache

这里学了下HDFS_DELEGATION_TOKEN 相关的知识,然后做出解答

2、问题原因解析

在上述https://github.com/apache/spark/pull/9168中,我将问题原因简单解释下。
在hadoop HA模式下,有三种tokens
1、ha token
2、namenode1 token
3、namenode2 token
Spark通过调用UserGroupInformation.getCurrentUser.addCredentials(tempCreds)来更新ha令牌,HAUtil.cloneDelegationTokenForLogicalUri会将ha令牌复制到namenode令牌。

spark 所做的操作

1、原理

spark 为了解决DT失效问题,加了两个参数”–keytab”和”–principal”,分别指定用于kerberos登录的keytab文件和principal。

–keytab参数指定一个keytab文件,Spark会根据–keytab指定的Kerberos认证文件生成 HDFS Token,然后再将生成的Token信息放到HDFS的某一个目录中供Executor和Driver使用。

Spark ApplicationMaster在Delegation Token将要失效的时候(75% of the renewal interval) 会通过Keytab文件重新认证并获取一个新的Delegation Token,然后将新的Delegation Token写入到指定的HDFS文件中;
Spark Executor在Delegation Token将要失效的时候(80% of the validity)读取HDFS上的最新的Delegation Token文件,然后更新自己的Delegation Token;
理论上这样就能解决掉Token过期的问题,然而在配置了HA的Hadoop集群上2.9.0之前的版本依然存在问题,问题在于配置了HA的Hadoop集群中,Executor读取新的Token信息之后只更新的HDFS的逻辑地址,而未同步更新真正的HDFS Namenode URI对应的Token,从而导致Namenode URI下面的Token会慢慢过期失效。

2、详情

1、Spark AM将获得HDFS Delegation Token(称为hatoken)并将其添加到当前用户的凭证中。
“ha-hdfs:hadoop-namenode” -> “Kind: HDFS_DELEGATION_TOKEN, Service: ha-hdfs:hadoop-namenode, Ident: (HDFS_DELEGATION_TOKEN token 328709 for test)”.

2、DFSClient将为每个NameNode生成另外2个令牌(namenode Token)。
“ha-hdfs://xxx.xxx.xxx.xxx:8020” -> “Kind: HDFS_DELEGATION_TOKEN, Service: xxx.xxx.xxx.xxx:8020, Ident: (HDFS_DELEGATION_TOKEN token 328709 for test)”
“ha-hdfs://yyy:yyy:yyy:yyy:8020” -> “Kind: HDFS_DELEGATION_TOKEN, Service: yyy:yyy:yyy:yyy:8020, Ident: (HDFS_DELEGATION_TOKEN token 328709 for test)”

3、当Spark更新ha token时,DFSClient不会自动生成namenode token。
DFSClient将仅使用namenode token和2个Namenode通信。

4 FileSystem具有缓存,调用FileSystem.get将获得一个缓存的DFSClient,该缓存具有旧的namenode token。
Spark仅更新ha令牌,但DFSClient将使用namenode token。

所以造成了失效的情况

3、解决

通过spark.hadoop.fs.hdfs.impl.disable.cache=true 配置来禁用缓存,拿到最新DFSClient来更新namenode token。这样就不会有这个问题了。

相关

关于hadoop的token的学习参考资料:
https://blog.cloudera.com/hadoop-delegation-tokens-explained/#comment-83166

早点起床晒太阳
关注
专栏目录
元数据与数据治理实战|Zookeeper在大型分布式系统中的应用(3)
十年呵护的专栏
01-27 514
开篇点题 之前zookeeper仅仅用作注册中心,接触的很少,在大数据HA场景下,需要我们更加深升入的学习zookeeper,希望对大家有所帮助。 正文部分 一、前言   上一篇博文讲解了Zookeeper的典型应用场景,在大数据时代,各种分布式系统层出不穷,其中,有很多系统都直接或间接使用了Zookeeper,用来解决诸如配置管理、分布式通知/协调、集群管理和Master选举等一系列...
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN owner=xxxx@xxxx.com, renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, masterKeyId=1583) is expired, current time: 2020-02-17 16:37:40,567+0800 expected renewal time: 2020-02-17
php hdfs thrift,sparkThriftserver 长时间运行HDFS_DELEGATION_TOKEN失效问题
weixin_28977143的博客
04-07 276
1、背景sparkThriftserver 运行一天后,有人反馈查询报错,我自己测试了下,确实如此org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (HDFS_DELEGATION_TOKEN token 93611 for hadoop...
Sparkhdfs delegation token过期的排查思路总结
三劫散仙
11-09 2334
hadoop delegation token问题相对比较混乱和复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
hdfs delegation token 过期问题分析
qq_41587243的博客
12-31 4356
什么是delegation token delegation token其实就是hadoop里一种轻量级认证方法,作为kerberos认证的一种补充。理论上只使用kerberos来认证是足够了,为什么hadoop还要自己开发一套使用delegation token的认证方式呢?这是因为如果在一个很大的分布式系统当中,如果每个节点访问某个服务的时候都使用kerberos来作为认证方式,那么势必对KDC造成很大的压力,KDC就会成为一个系统的瓶颈。 与kerberos的区别 kerberos认证需三方参与,cl
记一次HDFS Delegation Token失效问题
迹_Jason
01-17 5549
由于我们团队是最近上的 Kerberos ,免不了会出现一些问题,现阶段还处于踩坑阶段。希望通过我们的填坑的经历,帮助到同样身处坑内的伙伴。我们使用的 Hortonworks-HDP 环境。 HDFS Delegation Token 问题被发现于一个 Long Running 的 Spark 应用。由于发布周期原因,部分应用超过了 7 天的有效期时间,突然在同一时间,爆发出来。当时觉得很诡异,在...
hadoop token过期问题
m0_67400973的博客
04-03 1315
1、Token 过期问题 Failed to Update HDFS Delegation Token for long running application in HA mode 参见 https://issues.apache.org/jira/browse/HDFS-9276 https://github.com/apache/spark/pull/9168 错误信息: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.
hive配置Kerbros安全认证_hive kereveros
2401_84264610的博客
04-26 679
合并成一个keytab文件,rkt表示展示,wkt表示写入。注意:ktutil:以后面的是输入的。#生成密钥文件(生成到当前路径下)
HDFS Router-based Federation
小米云技术
07-11 2738
Abstract Hadoop 社区为了解决 HDFS 横向扩展的问题,早前的版本中实现了基于 ViewFs 的 Federation 架构,而在最新的 Hadoop 版本中,社区又实现了基于 Router 的 Federatio n架构,并且在这个架构之上还实现了许多增强集群...
大数据之路-Hadoop-5-HDFS原理解析及NameNode、DataNode工作机制
幸运的天才小驴的专栏
01-26 2357
HDFS的工作机制 1 概述 二HDFS写数据流程 1 概述 2 详细步骤图 3 详细步骤解析 三HDFS读数据流程 1 概述 2 详细步骤图 3 详细步骤解析 四NameNode工作机制 1 问题场景 2 NameNode的职责 3 元数据管理 31 元数据存储机制 32 元数据手动查看 33 元数据checkpoint 34 元数据目录说明 五DataNode工作机制 1
Spark性能优化合理设置并行度
ZMC921的博客
05-11 5286
Hadoop文件和block的关系,split与block的关系,一个map对应一个split分片吗?1.1 Hadoop文件和block的关系    在介绍hadoop写文件的时候我们经常会说首先分割文件为多个块;那么是怎么分割的呢?这里其实不要有过的纠结,这里的块是block,是hdfs中切块的大小,属于物理划分,默认128M,在hadoop-default.xml配置中有体现,也可以修改...
Sparkthrift Server 启动命令调优及问题报错解决
weixin_42151880的博客
03-15 2297
文章目录1、sparkthrift Server 启动命令2、实际生产过程中的报错解决2.1、Kryo serialization failed: Buffer overflow. Available: 0, required: 2428400. To avoid this, increase spark.kryoserializer.buffer.max value2.2、java.lang.OutOfMemoryError: GC overhead limit exceeded2.3、Job abort
Hadoop分析日志实例的详细步骤及出现的问题分析和解决
wuzhilon88的专栏
01-08 8630
1). 日志格式分析 首先分析 Hadoop 的日志格式, 日志是一行一条, 日志格式可以依次描述为:日期、时间、级别、相关类和提示信息。如下所示: 2014-01-07 00:31:25,393 INFO org.apache.hadoop.mapred.JobTracker: SHUTDOWN_MSG:  /****************************************
记一次HDFS Delegation Token失效问题(续)
迹_Jason
01-22 963
在上篇讲到了,HDFS Delegation Token 问题的解决方法是 Spark-Submit 方式可以进行解决,经过了一段时间的反思和查看 Livy 和 Spark-Submit 两者日志之后,有了一点新发现,并且测试认证了,该方式是可行的,那么是怎么实现的呢? 上篇传输门:地址 上文我有提到 livy spengo 是通过代理的方式实现 Kerberos 的认证的,当使用类似于 Sp...
hadoop群集get文件的时候出现报错
TURING.DT
04-13 3040
今天hadoop群集get文件的时候出现报错,如下: $hdfs dfs -get /test/part-r-00000.gz ./ 15/09/15 09:20:33 INFO hdfs.DFSClient: Access token was invalid when connecting to /192.168.2.42:50010 : org.apache.hadoop.hdfs.s
ERROR org.apache.hadoop.yarn.server.resourcemanager.ResourceManager: RECEIVED SIGNAL 15: SIGTERM
热门推荐
蔡先生的专栏
03-17 3万+
重新搭建Hadoop集群,一切配置就绪后,启动集群后,在Master和所有的Slave节点上通过JPS命令都可以看到集群应该启动的进程都已经启动了。通过50070端口也可以查看到所有DataNode处于Live状态,而且可以正常往HDFS上传下载文件。 但是在8088端口查看不到任何Nodes的信息,提交任务到集群,任务一直卡在Accepted状态。 通过查看日志发现提示如下错误: 2016
当尝试以 root 用户运行 HDFS NameNode 和 DataNode 相关操作时,如果没有定义 HDFS_NAMENODE_USER 和 HDFS_DATANODE_USER 环境变量来指定应该运行这些服务的用户,就会出现上述错误。
最新发布
09-17
当作为 root 用户尝试启动 Hadoop Distributed File System (HDFS) 的 NameNode 和 DataNode 服务时,如果没有设置 `HDFS_NAMENODE_USER` 和 `HDFS_DATANODE_USER` 这两个环境变量,系统会默认使用 root 来运行这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值