spark streaming写入有kerberos的phoenix (hbase)7天后token过期问题

最新推荐文章于 2022-11-09 23:34:25 发布
最新推荐文章于 2022-11-09 23:34:25 发布
阅读量2.5k 收藏 7
点赞数 2
文章标签: kerberos Spark Streaming
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zonghequ/article/details/84852243
版权

应用情景:

集群的hdfs,hbase,都安装了kerberos,且hadoop版本低于2.9.0,并做了HA高可用

1.spark streaming程序submit时不通过--keytab --principal指定keytab 文件和principal,程序内部不用UserGroupInformation对kerberos认证。

提交程序前,需要在提交客户端服务器klist查看票据是否过期,如过期,需要重新kinit更新票据。

此种情况下程序运行7天后(hbase默认的token最大生命期为7天,对应hbase-site.xml参数为hbase.auth.token.max.lifetime)因token过期无法入phoenix库,SparkStreaming程序陷入阻塞状态。

2.spark streaming程序submit时通过--keytab --principal指定keytab 文件和principal,程序内部不用UserGroupInformation对kerberos认证。

提交程序前,不需要在提交客户端服务器klist查看票据是否过期,直接提交即可。

此种情况下运行结果与1一样,程序运行7天后因token过期无法入phoenix库,SparkStreaming程序陷入阻塞状态。

3.spark streaming程序submit时不通过--keytab --principal指定keytab 文件和principal,通过--files karb5.conf,user.keytab的方式把认证文件一并提交供程序内部使用UserGroupInformation对kerberos认证,如果使用连接池,需要创建连接池时也使用doAs包裹。

a.初始化kerberos认证

private def initKerberos() {
  conf = new Configuration() //HBaseConfiguration.create();
  val keytab = app_conf.getString("keytab.file.name") // 测试模式
   val krb5 = app_conf.getString("krb5.conf.name")
   System.setProperty("java.security.krb5.conf", krb5);
  conf.set("keytab.file", keytab)
  // 这个可以理解成用户名信息,也就是Principal
  conf.set("kerberos.principal", app_conf.getString("kerberos.principal"))
  conf.set("hadoop.security.authorization", "true")
  conf.set("hadoop.security.authentication", "kerberos")
  conf.set("hbase.security.authentication", "kerberos")
  conf.set("hbase.zookeeper.quorum", app_conf.getString("hbase.zookeeper.quorum"))
  conf.set("hbase.zookeeper.property.clientPort", "2181")
  conf.set("hbase.master.kerberos.principal",app_conf.getString("hbase.master.kerberos.principal"))  
  conf.set("hbase.regionserver.kerberos.principal", app_conf.getString("hbase.regionserver.kerberos.principal"))  
  UserGroupInformation.setConfiguration(conf)
  try{
    ugi1 = UserGroupInformation.loginUserFromKeytabAndReturnUGI(app_conf.getString("kerberos.user.name"), keytab)
  }
  catch {
    case e: IOException => {
      // TODO Auto-generated catch block
      e.printStackTrace()
    }
  }
}
b.连接池创建kerberos方式
if (ugi1 == null) {
  initKerberos
}
HikariDataSource cpds = ugi1.doAs(new PrivilegedExceptionAction[HikariDataSource]() {
  def run: HikariDataSource = {
    cpds = new HikariDataSource(config)
    cpds
  }
}

c.获取kerberos连接的方法

def getKerberosConn: Connection = {
  var conn: Connection = null
    if (ugi1 == null) {
      initKerberos
    }
    conn = ugi1.doAs(new PrivilegedExceptionAction[Connection]() {
      def run: Connection = {
          conn = getConnection
        conn
      }
    })
  conn
}

d.调用获取kerberos连接

if (ugi1 == null) {
  initKerberos
}
ugi1.checkTGTAndReloginFromKeytab()
conn = getKerberosConn

第三种方法经测试可以在过期后更新hbase的token保持连接可用

小结:1.krb5.conf文件的影响范围仅仅是此文件所在的服务器(kerberos客户端),比如此服务器登陆hbase shell,提交程序到yarn(未加--keytab)等。使用--keytab 提交与先kinit再提交效果一样。

2.如果想要在测试集群验证程序kerberos认证是否成功不需要等待默认的7天(太久了,花儿都谢了),需要根据程序访问的hbase,hdfs(可在CM中修改并重启使其生效)修改对应的token配置,

hdfs-site.xml的token相关配置:

dfs.namenode.delegation.token.max-lifetime = 600000(毫秒)
dfs.namenode.delegation.key.update-interval = 180000
dfs.namenode.delegation.token.renew-interval = 180000

hbase-site.xml

hbase.auth.key.update.interval=240000

hbase.auth.token.max.lifetime=1200000

3.经过单独测试hbase shell客户端token超时只与所在服务器krb5.conf的配置有关,与hdfs-site.xml设置的token时间无关。

参考链接:

https://blog.csdn.net/co_zjw/article/details/81974845

https://issues.apache.org/jira/browse/HDFS-9276

http://support.huawei.com/enterprise/zh/doc/DOC1100006822?section=j00k

 

 

zonghequ
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【异常】DBeaver通过Phoenix去连接Hbase,提示authentication.util.KerberosUtil.hasKerberosKeyTab
本本本添哥
05-09 449
DBeaver社区版想要通过Phoenix去连接Hbase,但是提示了错误如下。
SparkStreaming读kafka写入HDFS(kerberos认证
lhxsir的博客
07-16 5024
SparkStreaming读kafka写入HDFS pom 访问Kerberos环境下的HBase代码 Spark2Streaming应用实时读取Kafka代码 写入数据到kafka代码 SparkStreaming读kafka写入HDFS 本教程基于CDH5.8.0其它组件版本为:spark2.1.0、kafka0.10.2、HDFS2.6.0 pom ...
hdfs/hbase 程序利用Kerberos认证超过ticket_lifetime期限后异常
asdfgh0077的博客
07-30 112
hdfs/hbase 程序利用Kerberos认证超过ticket_lifetime期限后异常
keytab过期_Spark submit规范与Kerberos 24小时过期问题解决办法
weixin_39932181的博客
01-03 1440
1.环境下spark相关作业的目录结构a)根目录: /opt/maintainb)二级目录包含 jars 、scripts 、logs c)三级目录: 项目名称,也就是项目的英文名称或简称d)文件: 不同二级目录下三级目录下的文件含义jars: 提交的jar包,样例:xxx-dservice-1.0.0.jarscripts: 提交脚本,样例:spark_submit_model.shlogs: ...
Spark与hdfs delegation token过期的排查思路总结
三劫散仙
11-09 2249
hadoop delegation token问题相对比较混乱和复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
利用两台云主机(真实环境至少三台)安装hadoop+hbase+sqoop2+phoenix+kerberos的过程笔记,从伪分布式到kerberos认证
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN owner=xxxx@xxxx.com, renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, masterKeyId=1583) is expired, current time: 2020-02-17 16:37:40,567+0800 expected renewal time: 2020-02-17
Kafka集成Spark Streaming写入数据到HBase
01-17
在实际应用,确保对Kafka、Spark StreamingHBase都有深入理解,以及对Java编程和相关API的熟练掌握,是成功集成的关键。同时,注意优化数据处理和存储的性能,以满足实时处理和大数据量存储的需求。
HBase-SparkStreaming:从HBase表读取并写入HBase表的简单Spark Streaming项目
05-13
HBase表读取并写入HBase表的简单Spark Streaming项目 #Prereqs运行 创建一个要写入hbase表:a)启动hbase shell $ hbase shell b)创建表create'/ user / chanumolu / sensor',{NAME =>'data'},{NAME =>'...
spark-structured-streaming-hbase-writer
05-08
如何使用该库://进行 例如 : 运行nc -lk 9999 创建火花会话: val spark = SparkSession ...写入hbase val query = lines .writeStream .foreach(new HBaseForeachWriter[WhatEverYourDataType] {
基于spark streaming+kafka+hbase的日志统计分析系统源码+项目说明.zip
01-15
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设...基于spark streaming+kafka+hbase的日志统计分析系统源码+项目说明.zip
基于kafka和spark streaminghbase的日志统计分析系统.zip
04-30
基于kafka和spark streaminghbase的日志统计分析系统.zip基于kafka和spark streaminghbase的日志统计分析系统.zip基于kafka和spark streaminghbase的日志统计分析系统.zip基于kafka和spark streaminghbase的...
Phoenix连接安全模式下的HBase集群
微信公众号:大数据从业者
09-20 405
Phoenix连接安全模式下的HBase集群 HBase集群开启安全模式(即启用kerberos认证)之后,用户无论是用HBase shell还是Phoenix去连接HBase都先需要通过kerberos认证。如果没有通过kerberos认证,则hbase shell或phoenix都会报找不到kerberos tgt的错误而无法访问HBase(以下以phoenix为例): 对于HBa...
hbase1.1.1 连接集群_Hadoop2.7.1+Hbase1.1.2集群环境搭建(10) hadoop hbase kerberos
weixin_29564301的博客
02-01 174
1.hadoop安全机制历史在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的,值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到hadoop集群上,恶意的提交作业,修改JobTracker状态,篡改HDFS上的数据,伪装成NameNode 或者TaskTracker接受任...
spark on yarn模式下扫描带有kerberoshbase
xyhshen的博客
04-01 4732
我上一篇写了关于如何在spark直接访问有kerberoshbase,现在我们需要对hbase进行全表的分布式扫描,在无kerberos的情况下通过sparkcontext的newApiHadoopRDD就可以达到目的,但有了kerberos的限制,这个方法就不行了,也许有人会想到通过我之前提到的ugi doAs方法解决,但是分布式扫描的情况下如果将newApiHadoopRDD放到doAs
Spark批处理读写Phoenix
邢为栋
03-19 785
关于Spark读写Phoenix,我找到两种方法,整理成笔记,用作备忘。 方法一 Phoenix官方提供了Spark插件,可以激活SparkPhoenix的交互。 地址:http://phoenix.apache.org/phoenix_spark.html 如果使用CDH,Cloudera也提供了相应的工具,来实现SparkPhoenix的交互。 地址:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/phoenix_spa
关于kerberos认证24小时过期的web项目
张不帅
05-31 1760
文章目录 对于kerberos认证的大数据集群,由于kerberos认证设置了缓存票据时间为24小时, 设置了定时任务,每次在24小时的时候重新认证并获取hbase连接 在重新获取连接的时候断开连接,此时线上的其他查询服务会在这一瞬间统一宕机 具体解决方案, try { UserGroupInformation.loginUserFromKeytab(userName,keyTabFile); long time = 24 * 60 * 60 * 1000;//24
005 - 马科维茨投资组合理论实现
最新发布
08-10
python基于tushare实现马科维茨投资组合理论实现
spark-读写hbasesparkstreaming操作,sparkhbase相关操作
03-16
可以使用HBase Streaming API来将流数据写入HBase,也可以使用HBase Input DStream来从HBase读取数据。 SparkHBase相关操作包括读写HBase数据、使用HBase作为数据源和数据目的地、使用HBase作为缓存等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值