elasticsearch 实现基于spark的kerberos认证

已于 2022-09-05 16:08:14 修改
阅读量1.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: haoop 文章标签: elasticsearch spark big data
于 2022-03-02 23:56:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/coreych/article/details/123243186
本文详细介绍了如何在Spark集群环境下,通过改造和自定义UserProvider解决Elasticsearch的Kerberos认证问题,包括暴力登录解决方案和优雅的自定义UserProvider配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近由于公司开启了kde集群下所有组件的kerberos认证。所以需改造原有的spark同步组件,读写数据源的时候需先做kerberos认证。以下是spark写入elasticsearch源的认证过程。

首先上网查下资料,发现没有什么有效信息。于是开始撸elasticsearch-hadoop的源码。发现最新的6.7版本是有支持kerberos认证的,相关实现如下:

 代码中,通过当前已登录的UserGroupInformation 信息去创建一个hadoopUser,提供认证相关信息。但奇怪的是jar包源码中找不到任何地方有做UserGroupInformation.loginUserFromKeytab等相关操作。导致这个方法实际无法获取有效的ugi用户。不知道jar包为什么这么设计,我认为是一个bug。不过由于UserGroupInformation的获取登录用户的方法是单例模式(UserGroupInformation.getCurrentUser()),所以只要找个合适的地方做下登录,就可以让

HadoopUserProvider获取到一个有效登录的用户。于是第一个方案就来了:
//遍历所有执行机,进行ugi登录
dataframe.foreachPartition(item => {
    //todo 判断UserGroupInformation是否登录,否则进行登录
    if(UserGroupInformation){
        //注意此处需通过spark.addFile 将 keytab文件分发到各个执行机上
        UserGroupInformation.loginUserFromKeytab(principal,keytabPath)
    }
})

这个方案比较简单,但是太过于暴力,不够优雅。于是继续看代码,发现可以自己定义一个UserProvider。

 通过在setting中指定ConfigurationOptions.ES_SECURITY_USER_PROVIDER_CLASS 参数的值,可以引用自定义的UserProvider。那么就可以自己定义一个UserProvider,进行登录操作。具体代码如下:

1. esConfig中指定userProvider

2. EsUserProvider实现:

 

 

Spark 本地连接远程服务器上带有kerberos认证的Hive
主要分享大数据相关的知识,如Spark、Hudi
11-01 4987
前言 因为公司的测试环境带有kerberos,而我经常需要本地连接测试集群上的hive,以进行源码调试。而本地认证远程集群的kerberos,并访问hive,和在服务器上提交Spark程序代码有些不同,所以专门研究了一下 并进行总结。 服务器上 在服务器上提交Spark程序认证kerberos比较简单,有两种方法: 使用kinit 缓存票据 kinit -kt /etc/security/keytabs/hive.service.keytab hive/indata-192-168-44-128.inda
Elasticsearch+Kerberos认证
u011775740的博客
12-11 6020
Elasticsearch 7.x版本 安全功能部分免费 Xpack功能License等级: 开源、基础级、黄金级、白金级、企业。 Elasticsearch在7.x版本中部分功能免费给大家使用。 例如: 加密通信 基于角色的访问控制 文件和原生身份验证 具体情况可以参考这里。 Xpack的Kerberos认证功能 Kerberos认证目前只有取得白金级License才能使用。 小白也看到过一...
Spark连接ES实现kerberos认证
dkjhl的博客
09-15 2632
Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER spark连接ES,kerberos认证 Missing required negotiation token Mechanism level: Request is a replay (34)
[OpenDistro] elasticsearch安全之开启kerberos
qq_24186017的博客
03-17 900
前言 方案一:修改elasticsearch x-pack模块源码,破解license最低为白金版本 刚开始调研为了使用kerberos,进行了破解。但是作为to B企业,这样做不是很好。所以再寻找其他方案 方案二: 使用亚马逊开源的Open Distro,里面有安全的插件,是完全开源的。 这个方案很适合我们公司,完全开源的。只需要安装插件即可。 ...
Spark SQL Thrift Server 配置 Kerberos身份认证和权限管理
weixin_30315435的博客
10-25 1240
 转载请注明出处:http://www.cnblogs.com/xiaodf/   之前的博客介绍了通过Kerberos + Sentry的方式实现了hive server2的身份认证和权限管理功能,本文主要介绍Spark SQL JDBC方式操作Hive库时的身份认证和权限管理实现。  ThriftServer是一个JDBC/ODBC接口,用户可以通过JDBC/ODBC连接Thrift...
Spark连接需Kerberos认证的HBase
q554518964的博客
09-07 3987
Prerequisite krb5.conf 或 krb5.ini xx.keytab core-site.xml hbase-core.xml CodeshBaseConfig.addResource("hbase-site.xml") hBaseConfig.addResource("core-site.xml") UserGroupInformation.setConfiguration(hB
java证书过期时间_Java登录Kerberos认证过期问题
weixin_42119866的博客
02-17 1360
问题:最近CDH集群增加了kerberos认证,发现了JavaWeb应用启动后,超过24小时后,kerberos凭证过期导致查询Hbase失败的问题。​ Spark程序连接CDH时,通过principal和keytab配置方式,内部会将凭证到hdfs上,供Executor和Driver使用。当凭证Ticket快要失效时,会通过Keytab重新生成凭证。spark2-submit \--master...
五分钟学会FineReport数据连接Kerberos认证
sjfxnxsr_的博客
11-11 1249
数据分析一直是我们互联网人辨别方向的不二法门,我们通过对数据的观测来判断事物的发展趋势,也常常利用数据的思维来辩证的为决策做参考。下面就给大家详细拆解帆软数据连接Kerberos认证详细步骤,让我们的数据分析少走弯路。1、简介1.1认证方式简介1)Kerberos 认证是 Hadoop 生态的一种通用的认证方式。2直接使用数据连接配置界面中的 Kerberos 认证:主要用于 Hive、HBase 等驱动的认证连接。
spark读写 es
Cool0的博客
07-17 1414
spark读写es 官方文档:https://www.elastic.co/guide/en/elasticsearch/hadoop/6.7/configuration.html mvn依赖 我这里使用的版本如下: 名称 版本 spark 2.3.0 es 6.7.0 <dependency> <groupId>org.elasticsearch</groupId> <artifactId>elasticsearch-
spark 写入 es
qq_34009542的博客
08-25 493
<dependency> <groupId>org.elasticsearch</groupId> <artifactId>elasticsearch-hadoop</artifactId> <version>7.10.2</version> </dependency> <dependency&gt...
spark-scala代理认证hadoop的kerberos.rar
10-11
spark scala认证和代理认证hadoop的kerberos代码示例。
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
ElasticSearch7.2.1+SearchGuard+ KerBeros+Kibana 集群测试环境部署文档,全网首发,网上能找到的都没有带上kerberos这种环境的,本文档包含了4大件ElasticSearch、SearchGuard、KerBeros、Kibana,谢谢下载
kerberos安全认证
12-29
kerberos安全认证demo,内含spark、oozie、mr、kafka、hive、hdfs、hbase等认证代码,并有对应开发文档等信息。。。
spark 通过kerberos认证连接impala 获取ResultSet集合转为DataFrame 并写入hive
qq_52095156的博客
06-20 991
def main(args: Array[String]): Unit = { val impala_db = args(2) // 查询impala库 val impala_tab = args(3) // 查询表名 val query_where = args(4) //查询条件 如Scan全表传空字符串 val LOGGER = LoggerFactory.getLogger(RimpalaDemo2.getClass)//设置日志 // jdbc url 使用kerbero
Spark-代码-整合Hive并进行kerberos认证
DCHAO的博客
02-05 5858
- SparkSQL整合Hive做数据源 - Spark程序连接Hive时进行kerberos认证
本地pyspark 通过kerberos认证,请求kudu(本地不需要下载kerberos,不用使用shell打开kinit),连接服务器hive
u013153465的博客
06-02 1334
你当然需要在本地装好spark,hadoop,java等环境,保证线上不使用kerberos认证的时候,你的pyspark是可用的。如果不行,请参考我的另一篇文章,当然同样先保证你的环境是OK的,并且环境变量这些都配置好了,同时hosts中的路由也配好了。至于环境变量怎么配置,如何安装,自己查资料吧,我懒得写了写这篇文章主要是百度的可用资料太少,然后这几天刚好碰上我google用不了,再则资料太散乱了,我自己调通之后,就分享出来了。第二步:1. 将hosts中的路由配置好,具体的配置规则问hive小伙伴要2
Java代码使用Spark on Yarn 方式提交任务到带Kerberos认证的Hadoop集群
weixin_34068198的博客
10-16 3761
2019独角兽企业重金招聘Python工程师标准>>> ...
使用Spark读取已开启Kerberos认证的HBase并注册临时表
weixin_44455388的博客
12-22 5701
1、首先获取相应的krb5.conf与keytab文件 2、代码示例: package com.zhbr.hbase.test import java.io.IOException import com.google.protobuf.ServiceException import org.apache.hadoop.hbase.HBaseConfiguration import org.apa...
Linux平台Elasticsearch 7.14.1版本发布
Linux Elasticsearch-7.14.1是一款基于Linux操作系统的开源搜索引擎与分析引擎。它是一款高性能的实时分布式搜索与分析引擎,广泛应用于各种大数据分析的场景。Elasticsearch是基于Apache Lucene构建的,并以简单的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值