Ambari+HDP集群关闭kerberos认证后遇到的问题

最新推荐文章于 2024-09-10 22:03:28 发布
最新推荐文章于 2024-09-10 22:03:28 发布
阅读量2.7k 收藏 4
点赞数 1
分类专栏: Ambari 文章标签: ambari 大数据 kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_aiytag/article/details/93623983
版权

文章目录

集群环境

这里使用的场景是Ambari:2.5.2+HDP:2.6.4
在开启kerberos论证服务后,安装过的Hadoop系列组件均可正常使用,包括hdfs、mapreduce、hive、hbase、kafka,其它组件暂未验证。

操作场景

1、禁用kerberos安全服务。
出现的问题包括:hive、hbase、kafka组件无法正常启动。
2、逐个手动启动上述组件,再启用kerberos安全服务。
3、再次禁用kerberos安全服务。
出现的问题:所有组件看起来都正常启动,但是事实上kerberos没有彻底关闭。

后边的问题及解决办法主要针对第1和第3场景。

场景一问题及解决方法

Hive服务无法启动

Hive启动不了包括Hive Metastore服务和HiveServer2服务两个 。
首先看Hive Metastore的日志:
在这里插入图片描述
提示的错误信息是:

KeeperErrorCode=InvalidACL for /hive/cluster/delegationMETASTORE/keys

解决办法:
进入Hive >> 配置参数 >> 高级设置hive-site

将hive.metastore.sasl.enabled修改为false;

在这里插入图片描述
在解决完上述问题之后,hive metastore服务可以正常启动了,但是hive server2却遇到同样的问题,查看日志发现如下错误信息:
在这里插入图片描述
提示的错误信息是:

KeeperErrorCode=InvalidACL for /hive/cluster/delegationHIVESERVER2/keys

解决办法:
进入Hive >> 配置参数 >>setting页面

将HiveServer2 Authentication项中,将kerberos改为none。

在这里插入图片描述
再次重启Hiveserver2,发现可以启动了,但是过了两分钟,发现服务又自动停止了,查看日志,发现报如下一连串错误,错误如下:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
提示的错误信息是:

Unable to create a znode  for this server instance.......
Error adding this HiveServer2  instance to Zookeeper......
Error starting HiveServer2 on attemp1......
HiveServer2 metrics system already initialized......

解决办法:
登陆zookeeper任一节点zkCli,删除hiveserver2目录。

rmr /hiveserver2

重启Hive服务,发现可以正常启动了。

Hbase服务启动不了

很蠢。
将Hbase >> 配置参数 >> settings界面的Security中的Enable Authentication由kerberos切换为simple即可。
在这里插入图片描述

Kakfa服务启动不了

这个问题有可能是个人问题。在开启kerberos服务的时候,我把Kafka Broker的listeners参数改了。
在这里插入图片描述
这里把PLAINTEXTSASL改回PLAINTEXT就行了。

场景二问题及解决方法

HDFS使用hadoop fs 指令出错

这一次关闭kerberos服务,遇到的问题更多。
看起来服务都好好的,但是连hadoop fs指令都无法运行,提示GSSException,看来是没有真正关闭。
进入 HDFS >> 配置参数 >> advanced >> 高级设置core-site

将hadoop.security.authentication由kerberos改为simple。

重启HDFS服务,发现服务可以启动。

重启YARN出错

由于修改了HDFS的配置,需要重启服务,YARN服务也要重启,重启的过程中出现错误如下图所示:
在这里插入图片描述

提示的错误信息是:

Permission denied. user=dr.who is not the owner of inode=don

解决办法:
进入HDFS >> 配置参数 >> advanced >> 自定义core-site
增加如下配置:

hadoop.http.staticuser.user=yarn

在这里插入图片描述
重启YARN服务发现问题解决。

HDFS的Datanode不可用

发现HDFS仍然存在问题,界面显示所有节点的datanode都正常启动,但是事实上datanode是有问题的。
监控指标中显示HDFS磁盘使用率为n/a,Datanode运行状态为0/3,说明所有的Datanode都没有正常工作。
查看datanode的日志,发现报下面错误:
在这里插入图片描述
提示的错误信息是:

datanode.Datanode (BPServiceActor.java:retrieveNamespaceinfo(225)) Problem connecting to server:*****

根据网上搜索资料得到的信息,HDFS在关闭kerberos的时候有下列几个参数需要修改:

hadoop.security.authtication:Kerberos修改为simple
hadoop.security.authorization:true修改为false
dfs.datanode.address:->from 10**(for kerberos)修改为50010(default)
dfs.datanode.http.address:from 10**(for kerberos)修改为50075(default)

在这里插入图片描述
进入HDFS >> 配置参数 >> advanced >> 高级设置hdfs-site
将上图中对应的参数修改为默认的。
参数修改保存后,重启HDFS、YARN和MapReduce,服务都可正常启动。

跑测试mr出错

重启完成后,验证服务是不是可正常使用,跑一个自带的mapreduce任务。
以root用户运行wordcount,报如下错误:
在这里插入图片描述
提示的错误信息是:

run as user is nobody
requested yarn user is root
Requested user nobody is not whitelisted and has  id 99,which is  below  the minimum allowed 1000

提示run as user is nobody,并提示userid小于1000,这里肯定是nobody的问题了,不会是uid小于1000的问题,查看/etc/passwd文件可知道,nobody的uid确实是99,为啥用root登陆的,显示的是nobody呢。
网上提供的一种解决方案,将各个nodemanager(都说是datanode)节点的目录下的usercache删除掉。
在这里插入图片描述
找到nodemanager配置的本地目录,进入该目录下,查看usercache文件夹内容。
在这里插入图片描述
上图中绿蓝字这几个目录都是kerberos用户的缓存,把所有节点同目录下的缓存都删除。
然后重新提交mapreduce任务,还是不行。接着排查。
对比未安装Kerberos的集群,发现YARN有一个隔离容器参数不一样。
在这里插入图片描述
未安装kerberos的该参数如下:
在这里插入图片描述
进入 YARN >> 配置参数 >> advanced >> isolation

把yarn.nodemanager.container-executor.class由org.apache.hadoop.yarn.server.nodemanager.LinuxContainerExecutor改为
org.apache.hadoop.yarn.server.nodemanager.DefaultContainerExecutor

重启YARN服务,再次测试wordcount的mapreduce任务,发现任务可以正常提交运行了。

再看我把你吃掉
关注
专栏目录
Accessing Hive using Java JDBC Issue -Unable to read HiveServer2 uri from ZooKeeper
rainysia的专栏
03-04 9223
启动Hadoop后, 发现hive 一直启动不起来, HIVE 3.1, driver是mysql 5.6 测试了下mysql链接, 配置了 hive-site.xml 里面的mysql Password, 并且开通了mysql远程链接. 进入到mysql后发现没有hive的相关DB. 这下就好办了. 初始化下schema cd /usr/hdp/3.1.0.0-78/hive/bin ...
Ambari禁用Kerberos操作
周源的专栏
09-28 2718
禁用过程中如下图所示: 查看日志报错: The 'krb5-conf' configuration is not available The 'kerberos-env' configuration is not available 解决方案: select * from clusterconfigmapping WHERE type_name in ('kerb
记一次Hiveserver2连接异常的解决-腾讯云-emr
最新发布
atbigapp的博客
09-10 708
离线任务跑的好好的,忽然有一天失败了,查看海豚上的任务执行日志发现是hiveserver2连接超时了。
基于Ambari禁用Kerberos
CREATE_17的博客
01-21 546
“禁用Kerberos的坑还是有的”前面的文章介绍了《Kerberos原理--经典对话》、《Kerberos基本概念及原理汇总》、《基于ambariKerberos安装配置》、《Win...
ambari关闭kerberos
warrah 南极狼
07-09 1270
Ambari+HDP集群关闭kerberos认证遇到问题关闭kerberos。 有一台机器关掉有问题, Traceback (most recent call last): File "/var/lib/ambari-agent/cache/stacks/HDP/3.0/services/SPARK2/package/scripts/job_history_server.py", line 102, in <module> JobHistoryServer().execut
Ambari】开启Kerberos安全认证
康师傅没有眼泪
05-27 3255
一个 User 或者一个 Service 会用 Principal 到 认证服务器(AS)认证,AS会返回一个用 Principal Key 加密的 TGT(票据授权票据),这时候只有 AS 和 Principal 的使用者可以识别该TGT,User 或者 Service 会使用 Principal 的 Key 来解密 TGT, 并使用解密后的 TGT 去TGS 获取 Service Ticket。在 Kerberos 认证集群中,只有拿着这个 Service Ticket 才可以访问真正的 Se
基于HDP3.1的Kafka对Kerberos的SASL认证
weixin_42687074的博客
11-26 910
前文: 公司使用Ambari2.7平台,需要自己搭测试环境,所以自己研究后,分享给大家。 目录 一、Ambari平台上修改Kafka配置 1、修改协议 2、修改机制 二、创建Kerberos授权用户 0、登录管理者 1、添加用户权限 2、生成keytab文件并拷贝到各个主机 三、配置认证 0、Kerberos客户端认证 1、配置客户端JAAS的Kerb...
Kerberos安装以及使用ambari开启HDP集群Kerberos认证
memoordit的专栏
03-26 5741
文章目录环境准备安装KDC MASTER安装KDC SLAVER安装客户端:使用ambari 环境准备 安装jdk 下载Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File。解压下载后的zip包,将得到的jar包放到所有服务器上的$JAVA_HOME/jre/lib/security/目录下。 安装KD...
大数据Ambari+HDP最优架构选型.pdf
11-15
Ambari是一个用于Hadoop集群管理和监控的开源工具,而HDP则是一个全面的大数据平台,包含了多个关键组件如Hive、Spark、Flume等。 1. **HDP数据架构总览**:HDP通常包括HDFS(Hadoop分布式文件系统)、YARN(资源...
Ubuntu18.04 安装部署 ambari 2.7.3 + HDP3.1.0 搭建Hadoop集群
qq_53047108的博客
09-28 2017
最近在搭建ambari ,其中遇见问题,所以就整理了
大数据平台的利器--Ambari+HDP
ligang_blog的博客
01-19 1177
Ambari是什么 Ambari 是 Apache 软件基金会 的一个顶级项目。 Apache Ambari项目用于配置、管理和监视Apache Hadoop集群的软件,简化Hadoop管理。Ambari提供了一个直观、易于使用的Hadoop管理web UI。 但是这里的 Hadoop 是广义,指的是 Hadoop 整个生态圈(例如 Hive,Hbase,Sqoop,Zookeeper 等),而并...
使用AmbariHDP集群安装Kerberos
光于前裕于后的博客
12-09 8077
环境:Amabri 2.2.2、HDP 2.4.2、CentOS 6.5
Hadoop相关问题解决--记录
奔跑入坑大数据
07-23 6139
Hive 1.查询hivemeta信息,查到的numRows为-1 cdh 不限 不限 不限 在hivemeta库中可以通过以下sql查询表的元数据信息 SELECT * FROM TABLE_PARAMS WHERE tbl_id = 45857 其中numRows会被用来统计为表的行数,但是发现有些表查出来行数为-1 可能原因 可能是因为这个表新建后没有通过这种方式插入过数据,所以表没有进行过统计,默认信息即为numRows=-1 解决方案 使用命令ANALYZE.
Requested user hdfs is not whitelisted and has id 993,which is below the minimum allowed 1000
weixin_45067310的博客
11-05 1004
将数据从mysql往hdfs导入的时候报错 ailing this attempt.Diagnostics: [2020-11-05 23:11:56.466]Application application_1604581963944_0008 initialization failed (exitCode=255) with output: main : command provided 0 main : run as user is hdfs main : requested yarn user is
KerberosHDP客户端部署与配置
那年夏天110的博客
08-31 1681
背景说明: 在Ambari平台上启用Kerberos之后,一些服务的Web UI 如:Namenode:50070、Yarn Web UI、spark history UI等快速链接大部分都是需要Kerberos认证才可以继续使用的。 像这种情况,就不能在Linux上进行操作.需要在Windows上安装Kerberos客户端,再进行浏览器配置才可以访问Hadoop相关服务的Web UI界面。 安装配置主要分为以下几步 在windows上安装Kerberos客户端,并修改本地krb5.in..
HuaWeiHive jdbc 连接问题
三五二十五的博客
05-07 1688
使用jdbc客户端连接hiveserver报Login failure for user from keytab conf/user.keytab (1) 首先确认获取的用户名和keytab文件是否正确,也就是url中user.principal值和user.keytab的keytab文件是否取至于所使用的集群。 (2) 其次确认获取的krb5.conf文件是否正确以及是否有正确设置。S...
hdp+ldap+kerberos集群虚拟机搭建笔记
weixin_43172032的博客
06-27 1078
hdp集群搭建一,搭建环境及版本1.1操作系统:centos71.2数据库:mysql5.71.3 ambari: 2.7.3.01.4 hdp:3.1.0.0二,配置虚拟机环境2.1 配置网络2.2 关闭防火墙2.3 关闭selinux2.4 配置免密ssh,域名,hostname,ulimit2.4.1修改/etc/hosts文件2.4.2 修改主机名。2.4.3 修改ulimit。2.4.4 配置主节点到从节点的免密登录三,安装ntp 时间同步服务四,安装配置mysql5.74.1 安装4.2 下载
Kerberos安全认证部署和使用(HDP
清平乐的技术专栏
09-22 2506
对于客户端而言,集群开启Kerberos之后,可以对可信任的客户端提供认证,使得可信任客户端能够正确提交作业,恶意用户无法伪装成其他用户侵入到集群当中,能够有效防止恶意冒充客户端提交作业的情况。对于服务端而言,集群开启Kerberos之后,集群中的服务都是可以信任的,集群服务之间使用密钥进行通信,避免了冒充服务的情况。 开启Kerberos能够提升集群的安全性,但是也会提升用户使用集群的复杂度,提交作业的方式与没有开启Kerberos前会有一些区别,需要对作业进行改造,增加Kerberos认证的相关内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值