elasticsearch 实现基于spark的kerberos认证

本文详细介绍了如何在Spark集群环境下,通过改造和自定义UserProvider解决Elasticsearch的Kerberos认证问题,包括暴力登录解决方案和优雅的自定义UserProvider配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近由于公司开启了kde集群下所有组件的kerberos认证。所以需改造原有的spark同步组件,读写数据源的时候需先做kerberos认证。以下是spark写入elasticsearch源的认证过程。

首先上网查下资料,发现没有什么有效信息。于是开始撸elasticsearch-hadoop的源码。发现最新的6.7版本是有支持kerberos认证的,相关实现如下:

 代码中,通过当前已登录的UserGroupInformation 信息去创建一个hadoopUser,提供认证相关信息。但奇怪的是jar包源码中找不到任何地方有做UserGroupInformation.loginUserFromKeytab等相关操作。导致这个方法实际无法获取有效的ugi用户。不知道jar包为什么这么设计,我认为是一个bug。不过由于UserGroupInformation的获取登录用户的方法是单例模式(UserGroupInformation.getCurrentUser()),所以只要找个合适的地方做下登录,就可以让

HadoopUserProvider获取到一个有效登录的用户。于是第一个方案就来了:
//遍历所有执行机,进行ugi登录
dataframe.foreachPartition(item => {
    //todo 判断UserGroupInformation是否登录,否则进行登录
    if(UserGroupInformation){
        //注意此处需通过spark.addFile 将 keytab文件分发到各个执行机上
        UserGroupInformation.loginUserFromKeytab(principal,keytabPath)
    }
})

这个方案比较简单,但是太过于暴力,不够优雅。于是继续看代码,发现可以自己定义一个UserProvider。

 通过在setting中指定ConfigurationOptions.ES_SECURITY_USER_PROVIDER_CLASS 参数的值,可以引用自定义的UserProvider。那么就可以自己定义一个UserProvider,进行登录操作。具体代码如下:

1. esConfig中指定userProvider

2. EsUserProvider实现:

 

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值