0446-如何在Kerberos环境下修改启用HA的CDH集群HOSTNAME

最新推荐文章于 2024-12-30 20:08:47 发布
最新推荐文章于 2024-12-30 20:08:47 发布
阅读量381 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hadoop_SC/article/details/104350347

温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github:
https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢

1

文档编写目的

Fayson在前面的文章《如何修改Kerberos的CDH集群的HOSTNAME》介绍了修改集群的HOSTNAME,在文章中并未提到集群启用HA的情况,本篇文章Fayson主要介绍在Kerberos环境下启用HA的CDH集群修改HOSTNAME。

  • 内容概述

1.环境说明及停止集群服务

2.修改集群HOSTNAME及集群服务配置

3.功能验证

  • 测试环境

1.CM和CDH版本为5.15.0

  • 前置条件

1.集群已启用Kerberos

2.集群已启用HA

2

环境说明及配置备份

1.本次只修改集群的HOSTNAME不做角色迁移,集群角色划分如下图所示:

集群原始HOSTNAME

IP地址HOSTNMAE节点说明
172.27.xx.xxcdh01.fayson.comNN、RM、JN、Oozie
172.27.xx.xxcdh02.fayson.comNN、RM、JN、Oozie、DataNode
172.27.xx.xxcdh03.fayson.comDataNode
172.27.xx.xxcdh04.fayson.comDataNode

需要修改为HOSTNAME列表

IP地址HOSTNMAE节点说明
172.27.xx.xxcdh1.fayson.comNN、RM、JN、Oozie
172.27.xx.xxcdh2.fayson.comNN、RM、JN、Oozie、DataNode
172.27.xx.xxcdh3.fayson.comDataNode
172.27.xx.xxcdh4.fayson.comDataNode

2.通过CM的API接口备份Cloudera Manager的配置

可以通过在浏览器输入CM配置访问地址,将内容备份或者在终端使用curl将数据抓取保存至文件。

终端执如下命令保存

[root@cdh04 ~]# curl -u admin:admin http://cdh01.fayson.com:7180/api/v19/cm/deployment > cme-cm-export.json

3

停止集群所有服务

1.通过CM停止所有CDH服务

停止成功

2.停止Cloudera Management Service服务

3.执行命令删除CDH集群中所有的kerberos证书

删除成功

4.登录CM服务所在节点执行如下命令,停止Cloudera Manager Server服务

[root@cdh01 ~]# systemctl stop cloudera-scm-server
[root@cdh01 ~]# systemctl status cloudera-scm-server

命令行验证7180端口是否还存在

5.停止集群所有节点的cloudera-scm-agent服务

[root@cdh01 shell]# sh ssh_do_all.sh node.list "systemctl stop cloudera-scm-agent"

6.为了确保修改失败后能够回滚,这里建议将MySQL或PostgreSQL进行备份

4

修改集群HOSTNAME

1.执行如下命令修改集群的HOSTNAME,以cdh01.fayson.com为例

[root@cdh01 shell]# hostnamectl set-hostname cdh1.fayson.com
[root@cdh01 shell]# hostname

注意:按照需求将集群所有节点的HOSTNAME修改为指定的名称

2.修改/etc/hosts文件

3.将修改后的hosts文件同步至集群所有节点的/etc目录下

[root@cdh1 ~]# cd /data/disk1/shell/
[root@cdh1 shell]# sh bk_cp.sh ip.list /etc/hosts /etc/

4.检查所有节点的HOSTNAME是否配置正确

5

修改krb5.conf配置文件

这里Fayson使用的是Active Directory提供的Kerberos服务,没有修改该服务的hostname,如果你的KDC服务是修改了HOSTNAME则需要根据如下步骤进行修改:

1.修改了KDC服务所在服务器的HOSTNAME,需要将相应的客户端配置修改, /etc/krb5.conf文件,内容如下:

[root@cdh01 ~]# vim /etc/krb5.conf
…
[realms]
 FAYSON.COM = {
  kdc = cdh1.fayson.com
  admin_server = cdh1.fayson.com
 }

[domain_realm]
 .fayson.com = FAYSON.COM
 fayson.com = FAYSON.COM

2.重启kdc和kadmin服务

[root@cdh1 krb5kdc]# systemctl restart kadmin
[root@cdh1 krb5kdc]# systemctl restart krb5kdc

3.将/etc/krb5.conf文件同步至集群所有节点

[root@cdh01 shell]# sh bk_cp.sh node.list /etc/krb5.conf /etc/

测试Kerberos服务是否正常

6

修改CM服务配置并启动

1.修改Cloudera Manager Server服务的数据库配置

2.修改CDH集群所有节点cloudera-scm-agent服务的配置

注意:需要修改集群所有节点上的配置。

3.启动cloudera-scm-server服务

[root@cdh1 ~]# systemctl start cloudera-scm-server
[root@cdh1 ~]# netstat -apn |grep 7180

4.启动集群所有节点的cloudera-scm-agent服务

[root@cdh1 ~]# cd /data/disk1/shell/
[root@cdh1 shell]# sh ssh_do_all.sh node.list "systemctl start cloudera-scm-agent"

7

修改集群服务配置

1.登录Cloudera Manager管理界面

2.修改集群所有服务的数据库配置信息

将所有服务的数据库HOSTNAME更改为修改后的HOSTNAME

3.修改CM中Kerberos配置信息,Fayson使用的AD提供的Kerberos认证(根据需要进行修改)

将KDC和KADMIN指向的主机host更改为最新的HOSTNAME,并保存配置。

4.进入主机列表界面,重新生成集群所有服务的Kerberos信息

执行重新生成Keytab

生成成功

进入“管理”->“安全”界面查看集群所有服务的prinicipal账号信息

注意:重新生成Keytab时需要确保所有服务都是停止状态,这里旧的prinicipal信息也存在,但不影响集群服务使用,如果觉得不顺眼可以在数据库中将cm库下的CREDENTIALS表数据删除,然后再重新生成。

5.启动Cloudera Management Service服务

启动成功

6.启动Zookeeper服务,由于集群启用了HA所以这里要先启动ZK服务

7.进入HDFS的实例列表,点击任意Failover Controller服务进入“进程页面”,找到FC服务中加载的core-site.xml文件

在core-site.xml文件中找到” ha.zookeeper.auth”属性的值

8.登录任意ZK服务所在节点,执行zookeeper-client访问ZK服务,在命令行执行如下命令

[zk: localhost:2181(CONNECTED) 2] addauth digest hdfs-fcs:QROKivFr9tYPAXuAbob8uXgYh5i8LZ
[zk: localhost:2181(CONNECTED) 3] ls /hadoop-ha
[nameservice1]
[zk: localhost:2181(CONNECTED) 4] rmr /hadoop-ha/nameservice1

9.执行上述操作后,进入HDFS服务的实例列表界面,选择任意FC服务进入

点击“初始化自动故障转移Znode”

10.进入Hive服务,修改Hive元数据库配置

11.进入Sentry服务,修改Sentry元数据库配置

12.修改Oozie数据库地址

13.完成以上配置后,部署客户端配置

点击“部署客户端配置”

14.启动CDH集群

集群启动成功

集群各个服务状态正常

8

功能验证

1.集群的HOSTNAME已修改为最新

2.向集群提交一个MapReduce作业测试功能是否正常

[root@cdh1 ~]# kinit usera
Password for fayson@FAYSON.COM: 
[root@cdh1 ~]# hadoop jar /opt/cloudera/parcels/CDH/lib/hadoop-mapreduce/hadoop-mapreduce-examples.jar pi 5 5

作业运行成功

9

总结

1.涉及到CM节点则需要将集群所有节点的/etc/cloudera-scm-agent/config.ini配置文件中的server_host配置修改为最新CM节点的HOSTNAME。

2.涉及到数据节点的HOSTNAME则需要修改CM服务和CDH中所有使用数据库服务的配置(如:Oozie、Sentry、Hive、CMS等)。

3.涉及到修改KDC服务器的HOSTNAME则需要修改/etc/krb.conf配置,并且需要将该配置文件更新到集群所有节点。

4.修改了集群节点的HOSTNAME,需要更新集群所有节点的/etc/hosts文件。

5.在集群启用HA后,修改了NameNode节点的HOSTNAME需要做一些额外的处理,先将ZK服务上/hadoop-ha/nameservice1的Znode删除,在HDFS的FC服务界面执行初始化。

提示:代码块部分可以左右滑动查看噢
为天地立心,为生民立命,为往圣继绝学,为万世开太平。
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。

推荐关注Hadoop实操,第一时间,分享更多Hadoop干货,欢迎转发和分享。

CDH集群安装&测试总结
shiter编写程序的艺术
10-07 1万+
0.绪论之前完全没有接触过大数据相关的东西,都是书上啊,媒体上各种吹嘘啊,我对大数据,集群啊,分布式计算等等概念真是高山仰止,充满了仰望之情,觉得这些东西是这样的:当我搭建的过程中,发现这些东西是这样的:对于初学者来说,我认为缺点如下: 1.需要控制,配置的东西太多,并且配置对应并不是很清晰(以后优化集群是否会有很高含金量?) 2.整个集群,我觉的从硬件到软件整体来说还是稳定性有待提高,尤其CDH
启用KerberosCDH集群的HiveServer2频繁意外退出故障解决附带CDH更新Principal keytab过程
weixin_42240930的博客
09-27 5947
HiveServer2 运行状况 不良 半小时自动退出一次 搜索hive的日志: find / -name  hive-log4j.properties 找到并打开后发现日志位置和名字: log.dir=/var/log/hive log.file=hadoop-cmf-hive-HIVESERVER2-cdh148.log.out 该日志内容过长,于是打开命令调整为: tail...
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
qq_53058639的博客
01-31 1611
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。kerberos主要负责平台用户的用户认证,sentry则负责数据的权限管理。(1)取消HiveServer2用户模拟。
CDH开启Kerberos认证后,重启服务失败
最新发布
weixin_44869422的博客
12-30 571
去所在目录里没有找到krb5cc_994文件,说明当前节点客户端使用用户hdfs/cdh01@CDH001.COM向Kerberos认证失败了,Kerberos票据服务TGT没有生成票据返回给客户端。认证失败的原因基本就是用户密码错误,那就是CDH内部记录的hdfs/cdh01@CDH001.COM用户密码错误了。当时我就怀疑是有人在kdc服务节点上生成keytab文件时,重置了用户的密码导致的。(如何重置CDH里记录用户的密码,因为原来的密码是错误的)1、先删除kdc的kerberos里用户。
CDH集群开启Kerberos安全认证
sharkdoodoo
07-23 9213
在ClouderaManager中通过向导开启,kerberos启用可以通过对hadoop集群的各个服务的xml配置文件进行配置开启管理,但是由于需要配置的xml很多,还需要生成各个服务器的keytab文件,配置相当于繁琐,就算是老司机也很容易出错,而在在CM管理kerberos启用,可以通过可视化的方式进行管理开启,非常方便,cm帮你生成和部署各个服务的keytab文件,减少错误的发生在进行向导
Kerberos 运维中遇到的问题
h952520296的博客
09-29 7505
记录一下有关 Kerberos 错误消息的信息,包括每个错误出现的原因以及解决此错误的方法。
大数据CDH集群开启kerberos后主机名是否必须小写?
wangkuangood3200的专栏
09-12 1092
版权声明:本文为博主原创文章,未经博主允许不得转载。 一、传闻规则 大数据CDH集群如果要开启Kerberos,主机名必须要求小写,否则CDH集成Kerberos会失败。 二、背景 生产环境由于经常扩容,且集群有很多应用节点,如果采用/etc/hosts方式做主机之间的解析,那么人力成本会比较高,因此采用DNS。于是引入了一个问题,公司生产环境DNS对主机名解析,会将原先的主机名解析...
CDH6.3.1集群搭建与维护】:麒麟v10-sp3环境下的全面指南
CDH6.3.1集群概述 ## 1.1 企业数据湖的演进 在数字化转型的浪潮中,企业数据湖成为了存储和管理海量数据的核心。CDH6.3.1作为Cloudera的一个发行版本,提供了企业级的数据处理和分析能力。它的出现,不仅强化了...
【大数据安全-KerberosKerberos常见问题及解决方案
热门推荐
weixin_53543905的博客
04-04 1万+
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
从入门到精通 - Fayson带你玩转CDH
Hadoop_SC的博客
09-22 4141
Fayson保持每天推一篇文章,本文随之每天更新。 以下所有文章均为超链接,可以直接点击文章名跳转。 还没附上超链接的文章是还没上传的,会再后续更新后陆续补上 1.规划设计 1.1.on-premise部署规划 0001-CDH网络要求(Lenovo参考架构)》 0062-《如何为Hadoop集群选择正确的硬件》 0158-《如何给Hadoop集群划分角色》 1.2.on private c...
CDH6.3.2集群部署4—Kerberos使用
一点见解
05-14 685
目录示例一:HIVE对接Kerberos配置1.为用户HIVE向Kerberos注册账号(Principal)2.生成密钥文件2.用户认证,执行以下命令,并输入密码,完成认证 示例一:HIVE对接Kerberos配置 1.为用户HIVE向Kerberos注册账号(Principal) kadmin.local -q "addprinc hive/hive" 2.生成密钥文件 #创建密钥文件目录 mkdir /var/keytab #生成密钥文件hive.keytab kadmin.local -q "x
重新生成kerberos凭据的方法
shen_xy的博客
04-24 3080
上周在Hadoop服务器上安装了kerberos,默认配置全都没有进行更改,配置了对应用户的票据后均可以正常访问hdfs,但今天来了之后发现用户无法访问hdfs了,于是重新生成票据。通过CMkerberos的ticker_lifetime改成了365天,但是担心万一仍然出现问题,于是将重新生成票据的方法进行记录,以免以后忘记。 对root用户进行票据配置 1、在root用户下执行命令:ki...
CDH启用Kerberos生成丢失的凭据时出错
jaysen1005的博客
03-20 2826
问题描述:在CDH启用Kerberos认证后,添加新的服务组件时,无法成功启动服务; 错误提示需要生成丢失的凭据,然而在生成凭据时又报错,错误信息如下: 解决办法: 首先需要导入Kerberos Account Manager 凭据 然后再生成丢失的凭据: 成功! 最后启动服务 也能成功运行了,搞定!!! ...
keytab生成不了
weixin_33980459的博客
12-21 1121
vim /var/kerberos/krb5kdc/kadm5.acl 将*e改成* /etc/init.d/kadmin restart 重启kadmin
CDH5安装Kerberos认证
IT晓白
12-30 1852
BUG BUG写在前面:Kerberos 1.15.1-18.el7.x86_64 版本有BUG,不要安装这个版本!!!! 如果已安装上面描述版本不要怕,这里有一篇解决方案升级kerberos 1.系统环境 1.操作系统:CentOS Linux release 7.5.1804 (Core) 2. CDH: 5.16.2-1.cdh5.16.2.p0.8 3. Kerberos:1.15.1-50.el7x86 4.采用root用户进行操作 2.KDC服务安装及配置 2.1.安装KDC服务 在Cloude
大数据之CDH数仓(15) | Kerberos常见问题
Knight
10-12 1262
目录Kerberos启动后台日志提示异常:No such file or directory - while initializing database for realm HADOOP.COMkinit通过keytab认证出现异常kinit认证时密码输入正确却提示密码错误创建数据库异常Zookeeper集群启动异常Hue启动,Kerberos Ticket Renewer起不来 Kerberos启动后台日志提示异常:No such file or directory - while initializin
hadoop 3.X 分布式HA集成Kerbos(保姆级教程)
guofei_ok的博客
06-30 1533
前提:先安装Kerbos。
Hadoop权限管理使用什么组件(HA + Kerberos)
Wxh_bai的博客
04-21 724
综上所述,Hadoop 权限管理主要使用 Hadoop Authorization (HA) 和 Apache Ranger 两个组件,它们分别提供了基于权限的访问控制和细粒度的权限管理功能,可以保护 Hadoop 中的数据安全。是 Hadoop 中的一种基于权限的访问控制机制,通过 HA,可以将用户和用户组与 Hadoop 文件系统中的权限进行映射,从而对其访问进行限制。来管理 Hadoop 文件系统中的权限,支持基于用户、用户组和访问类型(如读、写、执行等)的权限控制。
java 连接 hadoop ha,Hadoop HA kerberos
weixin_29623317的博客
03-14 672
终于把Hadoop HAkerberos 结合 搞起来了,搞了我三四天 .. 写一篇文档记录 走过的坑 。搭建完成节点信息 :192.168.1.245kdcserver KDC 服务器192.168.1.246node01192.168.1.247node02192.168.1.248node03192.168.1.249node04每台服务 keytab 路径 :/var/kerber...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值