Kyuubi项目中的Kinit辅助服务详解:Kerberos认证核心组件

于 2025-06-25 09:19:18 发布
阅读量208 收藏 10
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00704/article/details/148890716

Kyuubi项目中的Kinit辅助服务详解:Kerberos认证核心组件

kyuubi kyuubi 项目地址: https://gitcode.com/gh_mirrors/ky/kyuubi

什么是Kinit辅助服务

Kinit辅助服务是Kyuubi项目中实现Kerberos认证的核心组件,它在以下两个关键场景中发挥着重要作用:

  1. Kyuubi客户端与服务器之间的身份认证
  2. Kyuubi服务器与Hadoop集群之间的身份认证

该服务的主要职责是从Kerberos密钥分发中心(KDC)获取票据缓存(Ticket Cache),并通过定期重新执行kinit操作来保持票据的有效性。

Kerberos客户端安装与配置

验证Kerberos客户端

在开始使用Kinit服务前,需要确保系统已安装Kerberos客户端。可以通过以下命令验证:

klist -V

如果返回类似"Kerberos 5 version 1.15.1"的版本信息,说明客户端已安装。

关键配置文件

krb5.conf是Kerberos的核心配置文件,通常位于/etc目录下。该文件需要正确配置以指向您的KDC服务器。主要配置内容包括:

  • 领域(realms)定义
  • 域到领域的映射(domain_realm)
  • KDC服务器地址
  • 管理员服务器地址

您也可以通过设置KRB5_CONFIG环境变量来指定自定义的配置文件位置。

Kerberos票据机制解析

票据缓存详解

Kerberos票据缓存包含以下关键信息:

  • 服务主体名称(Service principal)
  • 客户端主体名称(Client principal)
  • 票据有效期
  • 各种标志位
  • 凭证本身

通过klist命令可以查看当前票据缓存的内容:

klist

典型输出示例:

Ticket cache: FILE:/tmp/krb5cc_5441
Default principal: spark/kyuubi.host.name@KYUUBI.APACHE.ORG

Valid starting       Expires              Service principal
2020-11-25T13:17:18  2020-11-26T13:17:18  krbtgt/KYUUBI.APACHE.ORG@KYUUBI.APACHE.ORG
	renew until 2020-12-02T13:17:18

票据生命周期管理

Kerberos票据具有以下特点:

  1. 有效期较短(通常几小时到一天)
  2. 可续期(通过renew until时间设置)
  3. 存储在临时文件中(如示例中的/tmp/krb5cc_5441

对于Kyuubi这样的长期运行服务,必须定期刷新票据以维持认证状态,这正是Kinit辅助服务的核心功能。

Kyuubi中的Kinit服务配置

核心配置参数

| 配置项 | 默认值 | 说明 | 引入版本 | |-------|-------|------|---------| | kyuubi.kinit.principal | 未定义 | Kerberos主体名称,格式必须为<user>/<host>@<realm> | 1.0.0 | | kyuubi.kinit.keytab | 未定义 | Kyuubi服务器keytab文件位置 | 1.0.0 | | kyuubi.kinit.interval | PT1H | kinit刷新间隔(ISO-8601格式) | 1.0.0 | | kyuubi.kinit.max.attempts | 10 | kinit操作最大重试次数 | 1.0.0 |

配置示例

kyuubi.kinit.principal=spark/kyuubi.apache.org@KYUUBI.APACHE.ORG
kyuubi.kinit.keytab=/path/to/kyuuib.keytab

重要注意事项

  1. 主体名称中的<host>部分必须是Kyuubi运行主机的完全限定域名(FQDN)
  2. 需要在Hadoop集群中配置相应的代理用户权限,例如:
hadoop.proxyuser.spark.groups *
hadoop.proxyuser.spark.hosts *
  1. 确保Hadoop配置中设置了hadoop.security.authentication=KERBEROS

实际应用场景

与Hadoop生态集成

当Kyuubi需要与以下Kerberos保护的Hadoop组件交互时,Kinit服务必不可少:

  • HDFS:访问分布式文件系统
  • YARN:提交和管理计算任务
  • Hive Metastore:管理元数据

多认证模式支持

虽然Kinit服务主要为Kerberos认证设计,但它也可以与其他认证模式协同工作,为系统提供灵活的认证方案。

最佳实践建议

  1. 密钥管理:确保keytab文件权限设置合理,仅允许Kyuubi服务账户读取
  2. 监控配置:设置适当的监控机制,确保kinit操作按预期执行
  3. 日志审查:定期检查Kyuubi日志中的Kerberos相关条目
  4. 时间同步:确保所有节点时间同步(Kerberos对时间敏感)
  5. 票据有效期:根据业务需求合理设置票据有效期和刷新间隔

通过正确配置和使用Kinit辅助服务,可以确保Kyuubi在Kerberos环境中稳定、安全地运行,为大数据处理任务提供可靠的认证保障。

kyuubi kyuubi 项目地址: https://gitcode.com/gh_mirrors/ky/kyuubi

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

基于kerberos认证的yarn的多队列资源隔离机制
程序员Linc
08-07 461
通过上述配置,您可以实现在启用了Kerberos认证的YARN环境中使用多队列资源隔离机制。这确保了不同用户和应用之间的资源隔离和公平分配。Kerberos认证进一步增强了安全性,确保只有经过认证的用户才能访问和使用资源。
Kyuubi简介
weixin_40994552的博客
05-08 3604
Apache Kyuubi 是一个分布式和多租户网关,用于在数据仓库和湖仓上提供无服务器 SQL。可以满足企业内诸如 ETL、BI 报表等多种大数据场景的应用。
Kyuubi】Apache Kyuubi 1.8 特性解读
书山有路,学海无涯。记录成长,追逐梦想
04-21 3314
Apache Kyuubi 是一个构建在 Spark、Flink、Trino 等计算引擎之上的,分布式、多租户的企业级大数据网关,致力于在 Lakehouse 之上提供 Serverless SQL 服务Kyuubi 支持多种类型的工作负载。典型的使用场景包括:用户可以使用 JDBC / BeeLine 以及各种 BI 工具,连接 Kyuubi 进行交互式的数据分析;使用 RESRful API 向 Kyuubi 提交 SQL / Python / Scala / Jar 批作业。
Apache Kyuubi 项目使用教程
最新发布
gitblog_01154的博客
03-30 272
Apache Kyuubi 项目使用教程 kyuubi apache/kyuubi- 该项目是一个基于 Apache Spark 的 SQL 查询引擎,提供了一个交互式的命令行界面和 RESTful API,以便于用户快速查询和分析大规模数据集。 ...
Kyuubi的介绍优势(官网链接)
qq_43688472的博客
07-19 1971
因此,他们可以使用熟悉的工具专注于自己的业务和数据。一个与 HiveServer2 兼容的接口,允许最终用户使用 thrift 客户端(跨语言支持,tcp 和 http)、基于 thrift的 Java 数据库连接(JDBC)接口或基于 JDBC的开放数据库连接(ODBC)接口。Kyuubi 在各种现代计算框架(例如 Apache Spark、 Flink、 Doris、 Hive和Trino等)之上构建分布式 SQL 查询引擎,以查询来自异构数据源的分布在大量机器上的海量数据集。
Kyuubi入门简介
qq_34819372的博客
07-26 916
1、一个企业级数据湖探索平台2、一个高性能的通用JDBC和SQL执行引擎3、一个基于spark的查询引擎服务
Apache Kyuubi概述——网易数帆(网易杭州研究院)开源
喻师傅的学习笔记
10-24 2158
基于 Apache Spark 实现的一个 Thrift JDBC/ODBC 服务,支持多租户和分布式的特性,可以满足企业内诸如 ETL、BI 报表等多种的大数据场景的应用。
基于Scala语言的kyuubi项目设计源码及跨平台开发支持
10-02
kyuubi-server和kyuubi-common可能是指项目的组件名称,暗示了项目中可能包含服务器端组件和服务,以及一些通用模块或工具。 该项目是一个大规模、多语言的软件工程项目,不仅包含核心的Scala源代码,还涉及多种...
incubator-kyuubi-website:Apache Kyuubi 站点
07-24
Apache Kyuubi 站点 用法 该站点是使用生成的。 要生成站点,您只需要一个二进制文件。 按照 Hugo 站点的安装指南进行操作。 (通常所有包管理器都包含专用包,但由于hugo 是用go 编写的,因此也可以从发布页面下载...
基于Apache Spark的分布式多租户JDBC服务器设计源码:incubator-kyuubi
10-03
项目是一款基于Apache Spark的分布式多租户JDBC服务器,名为Apache Kyuubi。源码包含757个文件,涵盖Scala、Java、Shell、Python和HTML等多种编程语言。文件类型包括257个Scala源文件、135个SQL脚本、135个schema...
Kyuubi:开源企业级Serverless Spark框架.pdf
06-24
姚琴 | 《Kyuubi:开源企业级Serverless Spark框架》@网易数帆技术沙龙 议题:网易集团每日有数十万 Spark 类型的任务,这给服务端的运维及调优带来了巨大挑战。为支持业务避开底层技术和框架选型,直接享受到前沿...
kyuubi:Kyuubi是基于Apache Spark构建的用于大规模数据处理和分析的分布式多租户JDBC服务
04-21
Kyuubi是基于构建的高性能通用JDBC和SQL执行引擎。 Kyuubi的目标是促进用户处理大数据(如普通数据)。 它提供了标准化的JDBC接口,在大数据场景中具有易于使用的数据访问。 最终用户可以专注于开发自己的业务系统并挖掘数据价值,而不必了解底层的大数据平台(计算引擎,存储服务,元数据管理等)。 Kyuubi依靠Apache Spark提供高性能的数据查询功能,并且引擎功能的每一项改进都可以帮助Kyuubi的性能取得质的飞跃。 此外,Kyuubi通过引擎缓存提高了临时响应速度,并通过水平缩放和负载平衡增强了并发性。 它提供了完整的身份验证和身份验证服务,以确保数据和元数据的安全性。 它提供强大的高可用性和负载平衡,以帮助您保证SLA承诺。 它提供了两级弹性资源管理体系结构,可以有效地提高资源利用率,同时满足包括交互,批处理和点查询或全表扫描在内的所有方案的性能和响应要求。 它包
大数据实践-Kyuubi
program哲学
12-31 1526
概述 Kyuubi 是一个分布式多租户 Thrift JDBC/ODBC 服务器,用于大规模数据管理、处理和分析,构建在 Apache Spark 之上,旨在支持更多引擎(即 Flink)。 Kyuubi 通过 Thrift JDBC/ODBC 接口为最终用户提供了一个纯 SQL 网关,以使用预编程和可扩展的 Spark SQL 引擎来操作大规模数据。 我们的目标是使 Kyuubi 成为数据仓库和数据湖的“开箱即用”工具。 这种“开箱即用”的模型最大限度地减少了最终用户在客户端使用 Spark 的障碍和成本
Kyuubi介绍
qqqq0199181的博客
11-07 8299
Kyuubi 是对spark thrift server的加强版,它弥补了spark thrift server缺少的多租户,授权,负载均衡,高可用特性。 统一接口 Kyuubi使用的协议与HiveServer保持一致,因此它能够支持所有的JDBC/ODBC客户端,用户应用程序也可以根据上图的thrift API写。用户可以用多种类型的客户端连接kyuubi服务,每个连接都绑定了一个sparkS...
Apache Kyuubi入门与使用
qq_41463207的博客
03-08 5403
kyuubi入门使用教程
探秘Kyuubi:分布式SQL引擎的新星
gitblog_00048的博客
03-26 901
探秘Kyuubi:分布式SQL引擎的新星 kyuubi项目地址:https://gitcode.com/gh_mirrors/kyu/kyuubi 在大数据处理的世界中,Kyuubi是一个值得关注的开源项目,它是一个基于Apache Spark构建的高性能、可伸缩的分布式SQL服务引擎。本文将带你深入了解Kyuubi的技术特性、应用场景及其优势,让你更好地理解如何利用它提升数据处理效率。 项目简...
kyuubi、sparksql部署实战与连接
hanwen112的博客
04-29 2439
kyuubi部署与连接
Kyuubi基本安装与使用指南
从大数据到人工智能的博客
05-13 6859
Apache Kyuubi (Incubating),一个分布式和多租户网关,用于在 Lakehouse 上提供无服务器 SQL。本文为kyuubi入门文章,介绍了Kyuubi基本安装与使用,并以Spark引擎为例讲述如何提交第一个Spark SQL任务。 您还可以阅读文章《Kyuubi 与 Spark ThriftServer 的全面对比分析》了解Kyuubi与Spark ThriftServer的异同点。 安装包下载 进入如下页面下载kyuubi安装包:https://kyuubi.apa.
Apache Kyuubi调研
美丽的毛毛草
07-29 6507
Apache Kyuubi调研1. QuickStart1.1 下载安装启动1.2 打开连接1.3 执行语句1.4 停止服务1.5 用DBeaver进行连接1.6 用java的jdbc进行连接2. Kyuubi 高可用调研2.1 非HA模式下,使用内嵌Zookeeper2.2 Kyuubi高可用2.2.1 负载均衡2.2.2 配置2.2.3 AQS1)SparkContext初始化失败**2)Zookeeper服务发现模式登陆报错**3. 概述3.1 架构3.1.1 架构概述3.1.2 统一接口3.1.3
Apache Kyuubi 1.6.1-incubating版:大数据查询服务与多租户架构
资源摘要信息:"Apache Kyuubi是一个开源的分布式多租户网关,其核心功能是为数据湖查询引擎如Spark、Flink或Trino等提供统一的SQL查询接口。Kyuubi支持多种身份验证和授权机制,确保不同租户的资源获取、数据访问和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

田子蜜Robust

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值