HBase Master启动认证kerberos失败&问题解决

最新推荐文章于 2024-11-12 12:23:03 发布
原创 最新推荐文章于 2024-11-12 12:23:03 发布 · 2.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HBase

本文记录了在Kerberos环境下启动HBase遇到的问题及详细错误日志,并提供了手动创建/hbase-secure节点的解决方案。

1. 问题复原

在kerberos环境下启动HBase时,包如下错误:

2018-03-29 11:59:12,828 INFO  [main-SendThread(hadoop2497.jd.163.org:2181)] zookeeper.ClientCnxn: Socket connection established to hadoop2497.jd.163.org/10.196.67.44:2181, initiating session
2018-03-29 11:59:12,837 INFO  [main-SendThread(hadoop2497.jd.163.org:2181)] zookeeper.ClientCnxn: Session establishment complete on server hadoop2497.jd.163.org/10.196.67.44:2181, sessionid = 0x2621ecd5e1a0165, negotiated timeout = 40000
2018-03-29 11:59:12,861 ERROR [main] master.HMasterCommandLine: Master exiting
java.lang.RuntimeException: Failed construction of Master: class org.apache.hadoop.hbase.master.HMaster. 
        at org.apache.hadoop.hbase.master.HMaster.constructMaster(HMaster.java:2512)
        at org.apache.hadoop.hbase.master.HMasterCommandLine.startMaster(HMasterCommandLine.java:231)
        at org.apache.hadoop.hbase.master.HMasterCommandLine.run(HMasterCommandLine.java:137)
        at org.apache.hadoop.util.ToolRunner.run(ToolRunner.java:70)
        at org.apache.hadoop.hbase.util.ServerCommandLine.doMain(ServerCommandLine.java:126)
        at org.apache.hadoop.hbase.master.HMaster.main(HMaster.java:2522)
Caused by: org.apache.hadoop.hbase.ZooKeeperConnectionException: master:16000-0x2621ecd5e1a0165, quorum=hadoop2496.jd.163.org:2181,hadoop2497.jd.163.org:2181,hadoop2498.jd.163.org:2181, baseZNode=/hbase-secure Unexpected KeeperException creating base node
        at org.apache.hadoop.hbase.zookeeper.ZooKeeperWatcher.createBaseZNodes(ZooKeeperWatcher.java:206)
        at org.apache.hadoop.hbase.zookeeper.ZooKeeperWatcher.<init>(ZooKeeperWatcher.java:187)
        at org.apache.hadoop.hbase.regionserver.HRegionServer.<init>(HRegionServer.java:572)
        at org.apache.hadoop.hbase.master.HMaster.<init>(HMaster.java:412)
        at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
        at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62)
        at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
        at java.lang.reflect.Constructor.newInstance(Constructor.java:423)
        at org.apache.hadoop.hbase.master.HMaster.constructMaster(HMaster.java:2505)
        ... 5 more
Caused by: org.apache.zookeeper.KeeperException$InvalidACLException: KeeperErrorCode = InvalidACL for /hbase-secure
        at org.apache.zookeeper.KeeperException.create(KeeperException.java:121)
        at org.apache.zookeeper.KeeperException.create(KeeperException.java:51)
        at org.apache.zookeeper.ZooKeeper.create(ZooKeeper.java:783)
        at org.apache.hadoop.hbase.zookeeper.RecoverableZooKeeper.createNonSequential(RecoverableZooKeeper.java:565)
        at org.apache.hadoop.hbase.zookeeper.RecoverableZooKeeper.create(RecoverableZooKeeper.java:544)
        at org.apache.hadoop.hbase.zookeeper.ZKUtil.createWithParents(ZKUtil.java:1204)
        at org.apache.hadoop.hbase.zookeeper.ZKUtil.createWithParents(ZKUtil.java:1182)
        at org.apache.hadoop.hbase.zookeeper.ZooKeeperWatcher.createBaseZNodes(ZooKeeperWatcher.java:194)
        ... 13 more

查看了下日志,使用keytab也登录成功了:

2018-03-29 11:59:12,180 INFO  [main] security.UserGroupInformation: Login successful for user hbase/atlas1.jd.163.org@HADOOP2.HZ.NETEASE.COM using keytab file /home/hadoop/yarn/conf/hbase.service.keytab

不清楚为什么在HBase启动的时候为何不能自动初始化/hbase-secure节点?

解决方案

手动创建带acl权限的/hbase-secure节点。

命令如下:

create /hbase-secure "" sasl:hbase:cdrwa

参考:
* https://community.hortonworks.com/articles/29900/zookeeper-using-superdigest-to-gain-full-access-to.html
* https://community.hortonworks.com/articles/90705/hive-llap-fails-with-invalidacl-for-llap-sasluser.html

HBase权限控制:Kerberos集成与安全配置
大数据洞察的博客
05-20 832
本文旨在为大数据工程师和安全管理员提供全面的HBase安全配置指南,重点涵盖Kerberos认证集成和细粒度权限控制。内容范围包括理论原理、配置步骤、实战案例和最佳实践。本文首先介绍HBase安全基础概念,然后深入Kerberos集成细节,接着展示实际配置步骤和代码示例,最后讨论高级安全特性和生产环境最佳实践。Kerberos: 一种网络认证协议,通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证: 访问控制列表,定义用户对资源的访问权限Principal。
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问
qq_32020645的博客
06-22 4393
技术连载系列,前面内容请参考前面连载10内容:​​​​​​​​​​​​​​大数据组件HBase也可以通过Kerberos进行安全认证,由于HBase中需要zookeeper进行元数据管理、主节点选举、故障恢复,所以这里对HBase进行Kerberos安全认证时,建议也对Zookeeper进行安全认证
hbasekerberos 后报错hbase master 起不来
jzy3711的博客
10-01 1316
1.需要手动重新创建keytab文件2.注意keytab文件权限问题
记录一次hbase宕机之后,对问题的排查
weixin_42934205的博客
10-19 684
hbase宕机问题排查 起因是在使用spark将数据库数据写入到hbase时,发现在正常运行过程中,突然发现了有三个spark任务突然假死,通过查看日志发现程序卡在了如下的位置: 2021-10-18 18:23:58,158 INFO jdbc.Utils: Supplied authorities: 192.168.xx.xx:10000 2021-10-18 18:23:58,158 INFO jdbc.Utils: Resolved authority: 192.168.xx.xx:10000 20
hbase启动异常解决方法
five小点心的博客
05-15 721
重启hbase之后,仍然出现上述异常。推测可能是HDFS中和zk中的hbase没有删除导致。下面重启hbase、zookeeper、hadoop就可以了。
HBasemaster启动就挂掉(启动不成功)的解决方法
Kuber
04-08 1486
HBasemaster启动就挂掉(启动不成功)的解决方法 我的hadoop版本3.1.3,hbase版本2.2.6 首先端口hdfs端口号要明确,hadoop3.x中HDFS NameNode 内部通常端口:8020/9000/9820,hadoop2.x则是8020/9000,这里9000端口不能使用,换成8020便在hdfs上成功创建目录。 查看habse的log日志,报错: java.lang.IllegalStateException: The procedure WAL relies on t
基于 kerberos 认证hbase24小时认证失效_05785.15.1Kerberos环境下Java应用程序认证超时异常分析...
weixin_31602525的博客
01-22 1236
作者:谢敏灵/辉少1文档编写目的在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序长时间运行作业Kerberos不自动重新认证问题 测试环境1.CM和CDH版本为5.15.12.操作系统版本为RedHat7.23.集群已启用Kerberos2问题描述在使用JDK 8时,在Kerbe...
hbase1.2配置(带kerberos认证)
manweizhizhuxia的博客
08-09 1443
hbase配置
Flink---hbase-sink支持kerberos认证1
旺旺的博客
06-16 2959
1.介绍 项目中需要用到Flink往hbase写数据,但是默认的FlinkUpsertSinkFunction不支持kerberos认证,不支持就无法hbase插入数据。 在原有的HBaseUpsertSinkFunction的基础上修改 增加kerberos认证,以下是修改好之后的代码,主要是修改了open方法,判断是否需要kerberos认证,如果需要认证则进行kerberos认证,如果不需要则不认证。jsonObject是kerberos的配置信息,keytab文件,kerberos账号这些信息
HBase鉴权设计以及Kerberos鉴权方法
李姓门徒
01-19 1574
整理hbase的相关鉴权设计,分别从hbase内部组件视角和客户视角进行权限管理
Flink异步IO : 访问hbase遇到的kerberos验证问题
雾岛与鲸的博客
12-21 1275
问题描述: 使用异步IO 访问hbase, hbase需要kerberos验证kerberos验证的时候,需要把kerberos验证文件加载到分布式缓存中,但是flink异步IO不支持访问分布式缓存,报错信息如下: 好了,不说废话,直接上解决方案: 在执行异步io操作之前,使用map方法构建对hbase的连接,使用静态变量,创建的hbase连接存储在内存中,后续使用hbase客户端的操作可以直接从taskManager的内存中去获取对应的连接即可 主要测试代码: import java.util.Pro
记一次hbase kerberos认证的坑
u012772803的博客
12-24 1299
现象 该程序已在多个环境上部署,上线成功,今天在一个新环境中部署,发现出现了kerberos认证不通过的现象,java.io.IOException: Login failure for myuser@example.com from keytab ./user.keytab,已经验证了该认证凭证正常,能正常认证 方案 参考stackoverflow 需要将krb5.conf文件中的参数进行调整 ...
zk 启用kerberoshbase连接不上问题
偶是一只小小鸟~
09-27 1034
背景 当cdh集群启动kerberos认证后. 启动hbase是hmaster 死活起不来. 思考可能是认证问题. 使用getAcl 看hbase节点的权限发现hbase用户并没有可操作的权限. 需要给hbase增加权限. 主要出现 KeeperErrorCode = NoAuth for /hbase/flush-table-proc/acquired 等错误 流程 为zk增加一个超级用户 https://www.jianshu.com/p/373d52375a65 使用超级用户为hbase
HBase之——连接不上Zookeeper的解决方案
冰河的专栏
03-20 5846
转载请注明出处:https://blog.youkuaiyun.com/l1028386804/article/details/88695338 当HBase连不上Zookeeper时,会报出如下的错误信息: Could not start ZK at requested port of 2181. ZK was started at port: 2182. Aborting as clients ...
开启kerberoshbase连接
warrah 南极狼
01-30 553
开启kerberos之后,hbase连接就没有之前那么顺利。 下面的异常说明没有创建hbase-test_data,在服务器上创建,并在ranger中赋予它hbase访问权限即可 2021-01-26 19:03:38,899 INFO [pool-2-thread-3] thrift2.ThriftServer: Effective user: hbase-test_data 2021-01-26 19:03:38,899 ERROR [pool-2-thread-3] server.TThreadPo
kerberosHBase访问Zookeeper的ACL问题
new Blog("gzh")
08-27 7594
最近公司HBase(CDH-4.6.0)遇到了一个麻烦问题,觉得有必要记录下整个解决的过程。问题起因用户在跑mapreduce任务,从hdfs读取文件想写入到hbase table的时候失败了(这是hbase提供的一种mapred能力)。这个问题发现在A环境(一个测试环境),自从启用了kerberos之后。运行了用户给的程序和自己写的sample之后,发现程序最后挂在NullPointerExcep
HBase连接异常处理:解决ZooKeeper连接问题
CyberXZ的博客
09-15 1942
HBase中,ZooKeeper是一个关键的组件,用于协调和管理集群中的各个节点。当出现"org.apache.hadoop.hbase.ZooKeeperConnectionException"异常时,这意味着HBase无法建立与ZooKeeper的连接。通过本文,我们了解了如何处理HBase中的ZooKeeper连接异常。其次,我们应该仔细检查HBase的配置,确保与ZooKeeper的配置一致。检查HBase配置:检查HBase的配置文件,确保HBase正确配置了ZooKeeper的相关参数。
Zookeeper启动失败问题解决方案
weixin_48809422的博客
11-12 1719
通过正确设置dataDir路径并确保配置文件命名为zoo.cfg,我们可以解决启动失败问题。这不仅确保了Zookeeper服务的稳定性,也提高了分布式系统的可靠性。在处理类似的问题时,仔细检查和调整配置文件是一个有效的解决策略。经过检查,我们发现问题出在Zookeeper的配置文件上。默认情况下,Zookeeper使用conf目录下的zoo_sample.cfg文件作为配置文件,其中包含了一个关键的参数dataDir,它。如果这个目录不存在或者路径设置不正确,Zookeeper在尝试启动时就会失败
hbase连接Kerberos报错:msg=Failed to read server kerberos principal row
周源的专栏
11-15 1199
通过代码连接hbase(已进行Kerberos认证),结果报错: 2017-11-15 19:07:59,085 INFO  [hconnection-0x757277dc-shared--pool2-t1] client.RpcRetryingCaller: Call exception, tries=10, retries=35, started=38816 ms ago, cancelle
HBase中如何配置Kerberos认证验证其有效性?
最新发布
07-18
### 三级标题:HBase中配置Kerberos认证验证步骤 在Hadoop生态系统中,HBase作为分布式数据库,其安全性尤为关键。为了保障HBase集群的访问安全,通常采用Kerberos协议进行身份认证。以下是完整的HBase集成Kerberos认证的配置流程及验证方式。 #### 配置Kerberos服务主体与Keytab文件 在Kerberos服务器节点(如node1)上执行命令,为每个HBase节点创建服务主体。例如: ```bash kadmin.local -q &quot;addprinc -pw 123456 hbase/node3&quot; kadmin.local -q &quot;addprinc -pw 123456 hbase/node4&quot; kadmin.local -q &quot;addprinc -pw 123456 hbase/node5&quot; ``` 随后将这些服务主体写入到keytab文件中,确保每个HBase节点拥有对应的服务凭据: ```bash kadmin.local -q &quot;ktadd -norandkey -kt /home/keytabs/hbase.service.keytab hbase/node3@EXAMPLE.COM&quot; kadmin.local -q &quot;ktadd -norandkey -kt /home/keytabs/hbase.service.keytab hbase/node4@EXAMPLE.COM&quot; kadmin.local -q &quot;ktadd -norandkey -kt /home/keytabs/hbase.service.keytab hbase/node5@EXAMPLE.COM&quot; ``` 将生成的`hbase.service.keytab`文件分发至各HBase节点的指定目录,并设置正确的权限[^4]。 #### 修改HBase配置文件启用Kerberos认证 编辑`hbase-site.xml`文件,添加以下配置以启用Kerberos认证: ```xml &lt;property&gt; &lt;name&gt;hbase.security.authentication&lt;/name&gt; &lt;value&gt;kerberos&lt;/value&gt; &lt;/property&gt; &lt;property&gt; &lt;name&gt;hbase.master.kerberos.principal&lt;/name&gt; &lt;value&gt;hbase/_HOST@EXAMPLE.COM&lt;/value&gt; &lt;/property&gt; &lt;property&gt; &lt;name&gt;hbase.regionserver.kerberos.principal&lt;/name&gt; &lt;value&gt;hbase/_HOST@EXAMPLE.COM&lt;/value&gt; &lt;/property&gt; &lt;property&gt; &lt;name&gt;hbase.rpc.engine&lt;/name&gt; &lt;value&gt;org.apache.hadoop.hbase.ipc.SecureRpcEngine&lt;/value&gt; &lt;/property&gt; ``` 完成配置后,将修改后的`hbase-site.xml`文件同步至所有HBase节点[^5]。 #### 启动验证Kerberos认证的有效性 完成上述配置后,重启HBase集群以应用更改。使用如下Java代码测试是否能够成功连接启用了Kerberos认证HBase环境: ```java import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.hadoop.hbase.TableName; import org.apache.hadoop.hbase.client.Connection; import org.apache.hadoop.hbase.client.ConnectionFactory; import org.apache.hadoop.hbase.client.Table; public class HBaseTest { public static void main(String[] args) throws IOException { Configuration config = HBaseConfiguration.create(); config.set(&quot;hbase.zookeeper.quorum&quot;, &quot;zkhost:2181&quot;); config.set(&quot;hbase.security.authentication&quot;, &quot;kerberos&quot;); try (Connection connection = ConnectionFactory.createConnection(config); Table table = connection.getTable(TableName.valueOf(&quot;test_table&quot;))) { System.out.println(&quot;Connected to HBase securely.&quot;); } } } ``` 该示例通过HBase Java客户端尝试建立安全连接,若输出&ldquo;Connected to HBase securely.&rdquo;则表示Kerberos认证已正确生效[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值