cdh+dolphinscheduler开启kerberos

已于 2024-01-15 10:56:43 修改
阅读量2k 收藏 3
点赞数
分类专栏: cdh集群 dolphinscheduler 文章标签: 大数据 hadoop
于 2023-01-30 16:47:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SmellyKitty/article/details/128792355
版权

搭建环境

多台linux主机搭建集群+CDH 6.3.2 (Parcel)版本+dolphinscheduler 1.3.2版本

本流程在CDH已搭建完成并可正常使用后,开启kerberos功能

dolphinscheduler用于大数据任务管理与执行,是很不错的任务调度平台,是否提前部署均可

开启kerberos目的:用于用户权限管理与安全认证,在开启kerberos之前的安全防护主要采取开启防火墙的方式,现在进行替换

本流程开启kerberos后可正常运行的服务包括:

CDH集群正常启用

linux用户创建kerberos权限

hive、hbase、hdfs等服务在主机可正常执行

dolphinscheduler安装正常,任务正常执行,定时任务正常执行

dolphinscheduler的租户权限正常,可进行大数据服务运行和使用

部署kerberos

  1. 选择一台主机安装kerberos服务,执行用户为root

#server端lz1.cmp14722.app
sudo yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y

  1. 同步执行集群主机安装client

#client lz1.cmp14722.app02 - lz5.cmp14722.app02
for item in `cat /etc/hosts | grep lz |awk '{print $2}'`; do ssh $item "hostname; yum install krb5-devel krb5-workstation -y" ; done

如果没有设置ssh免密登录其他主机,需要手动输入每个主机登录密码,建议设置,后面也会用到,设置方法网上很多,暂略。(与一台台主机自己安装一样)

插播一句,如果ssh免密登录设置后还是不能登录,可检查所有登录主机用户目录下的.ssh文件夹权限(700)以及文件夹内authorized_keys(600)文件权限

  1. 配置文件

配置文件修改2个

  • /etc/krb5.conf文件中default_realm对应的值随便起一个即可,realms部分选择服务主机,这里我选择安装主机对应hostname

sudo vi /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = BIGDATA.COM
dns_lookup_kdc = false
#default_ccache_name = KEYRING:persistent:%{uid}
[realms]
BIGDATA.COM = {
kdc = lz1.cmp14722.app
admin_server = lz1.cmp14722.app
}
[domain_realm]
.cmp14722.app = BIGDATA.COM
cmp14722.app = BIGDATA.COM

  • /var/kerberos/krb5kdc/kdc.conf文件我这里保持不变

sudo vi /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
EXAMPLE.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}

  • krb5.conf分发到其他主机客户端

for item in `cat /etc/hosts | grep lz | grep -v 1 |awk '{print $2}'`; do scp /etc/krb5.conf $item:/etc/ ; done

  1. 启动kerberos

  • 创建kerberos数据库

sudo kdb5_util create -r BIGDATA.COM -s
#输入密码
#完成

  • 启动kerberos

service krb5kdc start
service kadmin start
#查看服务状态
service krb5kdc status
service kadmin status

  1. 用户认证流程

  • 创建kerberos认证用户

#进入kerberos服务
kadmin.local
#查看已有认证用户
listprincs
#新增root用户认证
addprinc root/admin@BIGDATA.COM
#输入密码
#确认密码
#完成
#创建root用户的keytab文件认证
ktadd -k /opt/keytab/root.keytab -norandkey root/admin@BIGDATA.COM
#创建集群认证用户cloudera-scm,用于后面cdh开启kerberos使用
addprinc cloudera-scm/admin@BIGDATA.COM
#查看认证用户
listprincs
#退出
quit

  • root用户认证

#keytab认证
kinit -kt /opt/keytab/root.keytab root/admin@BIGDATA.COM
#查看当前生效token
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: root/ admin@BIGDATA.COM
Valid starting Expires Service principal
01/30/2023 11:13:08 01/31/2023 11:13:08 krbtgt/BIGDATA.COM@BIGDATA.COM

分发root的keytab到其他主机,实现root用户主机间的网络认证

for item in `cat /etc/hosts | grep lz | grep -v 1 |awk '{print $2}'`; do ssh $item "mkdir /opt/keytab"; scp /opt/keytab/root.keytab $item:/opt/keytab/ ; done

cdh启用kerberos

  1. 进入CM界面,打开管理-》安全

  1. 点击启用kerberos

  1. 全部勾选是

  1. 填写配置信息,server与上面krb5.conf中配置内容一致

下一步,这里可以不勾选

  1. 填写上面创建的账号与密码 cloudera-scm/admin@BIGDATA.COM

  1. 后面直接点继续,完成后,进行初始化,直至最终完成开启

  1. 重启集群,查看集群服务状态

  1. 主机上验证集群服务

通过root用户执行hive、hbase、hdfs命令

#hive命令
hive
>>show databases;
>>create database bigdata;
#hbase命令
hbase shell
>>list
#hdfs命令
hdfs dfs -ls /

如遇到某些命令没有权限或者无法通过TOKEN认证等问题,可以在kerberos服务主机上,创建对应的服务用户,进行keytab认证(参见上面用户认证流程),通过对应的服务认证,完成操作命令。认证不需要切换用户,如在root用户下可执行命令kinit -kt /opt/keytab/hbase.keytab hbase/admin@BIGDATA.COM,进行hbase的用户认证。

hbase服务也可进行用户权限授权,需要通过hbase用户的kerberos认证,作为管理员进行操作

#进入hbase
hbase shell
#查看现有用户权限
>>user_permission
#对root用户赋权,R写、W读、X执行、C创建、A管理员
>>grant 'root', 'RWXCA'

禁用kerberos:如何禁用CDH集群Kerberos-腾讯云开发者社区-腾讯云

dolphinscheduler启用kerberos

  1. 配置文件

在进行dolphinscheduler安装时,主要在install_config.conf的配置,参见官网的配置流程即可,如果已经安装完成,可以修改common.properties的配置文件,这里主要说kerberos的配置部分,其他部分这里不赘述

在dolphinscheduler所在master主机上进行配置文件修改即可

vi /opt/dolphinscheduler/conf/common.properties
# resource.storage.type=HDFS
resource.storage.type=HDFS
# whether kerberos starts
hadoop.security.authentication.startup.state= true
# java.security.krb5.conf.path=/opt/dolphinscheduler/conf/krb5.conf
java.security.krb5.conf.path=/etc/krb5.conf
# login user from keytab username
login.user.keytab.username= hdfs/admin@BIGDATA.COM
# loginUserFromKeytab path
login.user.keytab.path= /opt/keytab/hdfs.keytab

这里主要涉及keytab认证选择的用户,用户需要对集群有操作权限,这里选择hdfs用户,确保已创建kdfs用户对应keytab;资源存储选择的HDFS方式(这里其他配置参考官网)

  1. 重启dolphinscheduler系统

sh stop-all.sh
sh start-all.sh

  1. admin登录dolphinscheduler验证

可正常创建租户等其他操作

  1. 用租户bidata执行大数据任务

由于需要用linux的bidata用户执行任务,因此需要创建bidata用户的kerberos认证,方法同上,因为kerberos认证有有效期,保证任务和定时任务不失败,需要通过crontab创建定时认证

#创建定时任务
crontab -e
58 23 * * * kinit -kt /opt/keytab/bidata.keytab bidata/admin@BIGDATA.COM

定时任务在所有worker主机上均需要设置,因为dolphinscheduler的任务执行默认是随机分配的

遇到的问题

集群重启后hbase服务异常

hbase服务无法完成init过程,我通过删除zk中的hbase,完成了启动

#进入zk,/bin/zookeeper-client或zk目录下执行sh zkCli.sh
zookeeper-client
[zk: localhost:2181(CONNECTED) 3] ls /
[dolphinscheduler, hive_zookeeper_namespace_hive, zookeeper, hbase]
[zk: localhost:2181(CONNECTED) 3] deleteall /hbase
#或逐个删除/hbase下的内容

重启后成功

用户无法访问集群服务

Caused by: java.io.IOException: org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]

上面的错误是kerberos认证问题,当前用户没有进行kerberos认证或者本身对服务没有权限,需要具体服务具体授权,针对具体服务切换kerberos认证用户

如何在CDH5上部署Dolphin Scheduler 1.3.1
sinat_28371057的博客
09-18 539
本文记录了在CDH5.16.2集群上集成Dolphin Scheduler 1.3.1的详细流程,特别注意一下MySQL数据库的连接串! 1 文档编写目的 详细记录CDH5上Dolphin Scheduler 1.3.1的部署流程 分布式部署Dolphin Scheduler 2 部署环境和依赖组件 为了适配CDH5上的Hive版本, 需要对DS进行源码编译部署,最后会提供编译好的CDH5版本供各位老铁下载 集群环境 CDH 5.16.2 HDFS和YARN都是单点 DS的官网 h
如何在CDH5.16.2中部署海豚调度器Apache Dolphin Scheduler 1.2.0
sinat_28371057的博客
09-02 2006
Apache Dolphin Scheduler 组件介绍 分布式易扩展的可视化DAG工作流任务调度系统。致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。 官网 : https://dolphinscheduler.apache.org/en-us/ Github : https://github.com/apache/incubator-dolphinscheduler 部署环境 CDH测试环境 6台机器 网关节点部署worker CM节点部署mast
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
DolphinScheduler启用Kerberos(亲测)
qq_18453581的博客
03-07 1679
开启Kerberos时使用DolphinScheduler添加Hive数据源日志报错Peer indicated failure: Unsupported mechanism type PLAIN,在github的issue上有人说是bug,所以我手动编译3.1.4版本,问题依然存在,最终确定是依赖问题,下面附解决方法。kerberos命名规则,用户/主机@Realm,使用keytab,原来的密码失效(创建keytab可添加密码不失效参数-norandkey),一个用户可以访问所有服务。
CDH6安装kerberos(一)kerberos概念理解
独孤飞磊
11-30 1678
一. Kerberos概述 Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议,它允许某实体在非安
kerberos配置dolphinscheduler
m0_37759590的博客
06-22 1501
kerberos配置dolphinscheduler
CDH开启Kerberos
tom_fans的博客
04-09 652
参考官方文档:https://www.cloudera.com/documentation/enterprise/5-10-x/topics/cm_sg_authentication.html 开启kerberos之前,需要完成几个前提工作:: 1.所有的CDH主机需要安装KDC客户端: krb5-workstation,krb5-libs 2. JCE Policy :参考官方文档:ht...
DolphinScheduler+海豚
03-04
cp /opt/cloudera/parcels/CDH/lib/hive/lib/hive-common-2.1.1-cdh6.3.2.jar /opt/apache-dolphinscheduler-3.1.7/api-server/lib scp /opt/cloudera/parcels/CDH/lib/hive/lib/hive-jdbc-2.1.1-cdh6.3.2.jar /...
大数据技术之CM6.3.1+CDH6.3.2集群模式部署Dolphinscheduler.pdf
11-23
大数据技术之CM6.3.1+CDH6.3.2集群模式部署Dolphinscheduler 大数据技术之CM6.3.1+CDH6.3.2集群模式部署Dolphinscheduler大数据领域的一种集群模式部署解决方案。该解决方案使用CDH6.3.2集群模式,结合Dolphin...
CDH_5.15.1开启kerberos认证.docx
04-17
CDH(Cloudera Distribution Including Apache Hadoop)环境中,开启Kerberos认证能够增强数据安全性,防止未授权的访问。本文将详细阐述如何在CDH 5.15.1上配置并启用Kerberos,以及Kafka在Kerberos环境下的配置...
DolphinScheduler配置Kerberos,过期重启解决问题(完结)
qq_18453581的博客
08-15 975
解决方法。
CDH集群部署DolphinScheduler
ifeng
07-16 3296
文章目录Dolphin1 基础环境说明1.2 安装包下载 Dolphin 官网 易观开源项目,现已成为Apache孵化器项目(2020-07) 1 基础环境说明 MySQL 5.7 Zookeeper 3.5 Hadoop 3.0 JDK 1.8 CDH测试环境 六台Centos7.7 网关节点部署Worker CM节点部署Master 和 Web 1.2 安装包下载 官方下载地址 分为前后端,一共需要下载两个tar包 ...
CDH6.3.2集成Kerberos
热情、奔放、快乐编程!
09-03 989
参考:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cdh_sg_browser_access_kerberos_protected_url.html#topic_6_2__section_vj5_gwv_ls。禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启Kerberos的组件的配置。1.连接你的集群krb5kdc和kadmin服务所在的机器,复制/etc/krb5.conf中的配置。
CDH6.1中启用Kerberos
yangbosos的博客
03-21 5770
Fayson介绍了《0491-如何在Redhat7.4安装CDH6.1》,这里我们基于这个环境开始安装KerberosKerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloude...
CDH6.3.2集成dolphinscheduler3.0.1伪集群模式
code在飞的博客
08-18 465
CDH6.3.2集成dolphinscheduler
CDH6.3.2整合DolphinScheduler3.0.0
qq_18453581的博客
01-05 2986
CDH6.3.2整合DolphinScheduler3.0.0 测试通过,正常启动
Apache Dolphinscheduler —— CDH6.3.2集群模式部署(Cluster)
caron的博客
05-08 3970
Apache Dolphinscheduler 一、前期准备1、基础环境配置2、下载二进制tar.gz包3、创建部署用户和hosts映射4、配置hosts映射和ssh打通及修改目录权限5、数据库初始化二、Apache Dolphinscheduler配置修改1、数据库配置2、修改运行参数三、一键部署1、执行2、登录3、启停服务 一、前期准备 1、基础环境配置 关于CDH6.3.2基础配置如下,和官网要求存在版本差距,并不影响: MySQL (5.6.24) JDK (1.8.0_292) ,安装好后在/et
26.集群启用KerberosCDH
大勇若怯任卷舒
07-27 266
##26.1 环境介绍 如何在CDH集群启用及配置Kerberos,需求环境如下: CDH集群运行正常 集群未启用Kerberos MySQL 5.1.73 操作系统:CentOS 6.5 CDH和CM版本为5.12.0 采用root用户进行操作 26.2 服务安装及配置—KDC 将KDC服务安装在Cloudera Manager Server所在服务器上 KDC服务可根据自己需要安装在其他服务器 在Cloudera Manager服务器上安装KDC服务 [root@ip-172-31-
CDH集群部署Dolphinscheduler1.3.1
ifeng
08-04 3089
文章目录1 下载2 基础软件安装3 集群解压缩3.1 scp到其他节点3.2 tar开3.3 重命名4 创建部署用户和hosts映射4.2 同步到其他4.3 安装sshpass4.4 免密登录4.5 修改权限5 数据库初始化5.1 数据库用户权限5.2 创建表和导入基础数据6 修改运行参数7 初始化8 启停服务 1 下载 https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html 2 基础软件安装 PostgreSQL (8
DolphinScheduler3.2.2怎么对接CDH6.3.2
最新发布
01-24
### DolphinScheduler 3.2.2与CDH 6.3.2集成指南 #### 集成概述 为了使DolphinScheduler 3.2.2能够顺利运行于Cloudera Distribution Including Apache Hadoop (CDH) 6.3.2环境中,需确保两者之间的兼容性和配置一致性。此过程涉及多个组件和服务的协同工作。 #### 准备环境 确认已安装并正确配置好CDH 6.3.2集群,包括但不限于HDFS, YARN, Hive等服务正常运作[^1]。对于DolphinScheduler而言,则要保证其依赖项如JDK版本满足官方文档的要求[^2]。 #### 安装DolphinScheduler 下载对应版本的DolphinScheduler包,并按照官方说明完成部署前准备工作。特别注意数据库的选择应与现有CDH平台保持一致,推荐采用MySQL作为元数据存储方案[^3]。 #### 修改资源配置文件 编辑`conf/application.properties`, `conf/dolphinscheduler_env.sh`等相关配置文件来适配当前使用的CDH环境参数设置。重点调整如下几处: - **Hadoop相关路径** ```properties hadoop.home=/opt/cloudera/parcels/CDH/lib/hadoop/ ``` - **Yarn队列名称** ```properties yarn.resourcemanager.address=cdh-master:8032 mapreduce.framework.name=yarn yarn.application.classpath=${yarn.application.classpath},/etc/hadoop/conf,/opt/cloudera/parcels/CDH/lib/hadoop/*,/opt/cloudera/parcels/CDH/lib/hadoop/client/* ``` - **Kerberos认证(如果启用)** 若CDH启用了安全模式(Kerberos),则还需额外指定keytab位置以及principal信息以便顺利完成身份验证流程[^4]. ```bash export DS_KERBEROS_KEYTAB_PATH="/etc/security/keytabs/ds.service.keytab" export DS_KERBEROS_PRINCIPAL="dolphinscheduler/_HOST@YOUR.REALM.COM" ``` #### 启动服务测试连接性 启动DolphinScheduler各节点上的Master Server、Worker Server和其他辅助进程之后,在Web UI界面上创建简单的Shell或MapReduce任务实例来进行初步的功能检验。通过观察日志输出判断是否存在异常情况发生;必要时可借助命令行工具进一步排查网络连通状况等问题所在[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值