Delegation Token

最新推荐文章于 2024-10-29 20:32:50 发布
原创 最新推荐文章于 2024-10-29 20:32:50 发布 · 624 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据

本文介绍了HDFS中Block Access Token的功能与实现原理。详细解释了如何通过设置dfs.block.access.token.enable=true启用Block Access Token,以及它在客户端与服务器间的交互认证过程。
原创,转载请注明出处

若设置了dfs.block.access.token.enable=true时,启动时的日志中:
会有这样两条日志:
2013-02-21 19:59:07,006 INFO org.apache.hadoop.hdfs.server.blockmanagement.BlockManager: dfs.block.access.token.enable=true
2013-02-21 19:59:07,006 INFO org.apache.hadoop.hdfs.server.blockmanagement.BlockManager: dfs.block.access.key.update.interval=600 min(s), dfs.block.access.token.lifetime=600 min(s), dfs.encrypt.data.transfer.algorithm=null

启用前:
2013-02-21 19:41:22,950 INFO org.apache.hadoop.hdfs.server.blockmanagement.BlockManager: dfs.block.access.token.enable=false

那么dfs.block.access.token.enable作用是什么呢:

根据Hadoop权威的解释(此处我是翻译的英文文档):
Delegation Tokens(代理token)
在分布式系统,如HDFS 或者MapReduce,会有很多客户端和服务器之间的交互,这些交互都必须要进行认证,例如:在一个HDFS读操作的过程中,需要多次调用namenode与datanode,
如果对每一次call,都使用三步式Kerberos认证,那么无疑会增加很高的负载,。Hadoop使用代理token,这种token在生成之后,就不会再和kerberos中心进行交互。Delegation Tokens
有Hadoop代表用户生成并使用,所以这里不要你进行签名认证。

一个Delegation Token,有NameNode产生,可以被认为是一个在client与服务器之间共享的secret,在client与server之间的第一次RPC调用的时候,并没有Delegation Token生成,所以它必须要经过kerberos进行认证,client会从namenode中获得一个Delegation Token。

如果client想进行HDFS blocks进行操作,client会使用一个特殊的Delegation Token,叫做block access token。这个token是namenode在client进行metadata请求的时候,作为给client的相应传递给client。client使用这个token来向datanode认证自己。这是可能是因为namenode会和datanode之间共享这个token,所以这是Block就只能被持有这个token的客户端进行访问了,要启用这token功能,需要设置dfs.block.access.token.enable =true。

在MapReduce中,JOB resource和metadata(比如JAR files,input splits,配置文件)都会在HDFS上进行共享,供jobtracker进行访问。而用户代码运行在tasktracker,访问HDFS上面的文件,这时候,Delegation Token会在Jobtrackers和tasktrackers之间共享。当job结束的时候,这个token就失效了。
Delegation Token 会为HDFS实例自动获得,但是如果你的job需要访问其他的cluster,那么你可以通过设置mapreduce.job.hdfs-servers 属性,指向不同HDFS URL。


我的伪分布环境中,并没有配置kerberos,但是也不报错。呵呵,试验就到此为止吧,安全的问题,以后再去研究。
聊聊Hadoop安全认证体系:Delegation TokenBlock Access Token
走在前往架构师的路上
11-29 3606
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
hdfs delegation token 过期问题分析
qq_41587243的博客
12-31 5178
什么是delegation token delegation token其实就是hadoop里一种轻量级认证方法,作为kerberos认证的一种补充。理论上只使用kerberos来认证是足够了,为什么hadoop还要自己开发一套使用delegation token的认证方式呢?这是因为如果在一个很大的分布式系统当中,如果每个节点访问某个服务的时候都使用kerberos来作为认证方式,那么势必对KDC造成很大的压力,KDC就会成为一个系统的瓶颈。 与kerberos的区别 kerberos认证需三方参与,cl
Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN owner=xxxx@xxxx.com, renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, masterKeyId=1583) is expired, current time: 2020-02-17 16:37:40,567+0800 expected renewal time: 2020-02-17
【Kafka】Delegation Token
metaldong的博客
09-20 463
DeleagtionToken(委托令牌)是Keberos认证提出的一种轻量级认证机制,采用委托令牌的方式直接进行权限的精细控制。委托令牌的特点:短期有效,无需暴露用户凭证。
delegation模式
mildwind的专栏
12-15 3280
2004-10-28撰写读Globus Toolkit编程文档时,里面在实现operation provider时提到了delegation模式。GOF的设计模式里好像没有这个模式,还好网上找到了相关的文档。翻译如下:委托模式:(应该翻译成委托吧,如果翻译成代理容易和proxy模式混淆)委托模式是一种技术,一个对象在外界来看好像实现了一些行为,但实际上是委托给相关的其他类来实现行为的.在不可以使用
sparkThriftserver 长时间运行HDFS_DELEGATION_TOKEN失效问题
zeng6325998的博客
05-18 1805
参考资料:https://github.com/apache/spark/pull/9168 1、背景 sparkThriftserver 运行一天后,有人反馈查询报错,我自己测试了下,确实如此 org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (HDFS_DELEGATION_TOKEN token 93611 for hadoop) ca.
深度了解flink(八) JobManager(2)initializeServices剖析
qq_40689430的博客
10-29 1312
上篇文章梳理了Flink 集群的模式以及通过源码分析了JobManager的启动流程,这篇文章更加细粒度的分析JobManger启动流程初始的服务。initializeServices剖析.map(value ->() ->LOG.debug(//创建工作目录//创建rpcSystem//创建RpcServicerpcSystem,//根据配置实例化JMX,默认关闭。通过JMX收集Flink的监控信息//创建了一个固定大小的线程池,也可以理解为执行器。
Hive Delegation Token 揭秘
weixin_45232029的博客
12-18 2482
本篇文章是由一次 Hive 集群生产优化而引出的知识点,供大家参考
一文讲透hdfsdelegation token
hncscwc的博客
07-25 2625
【背景】前一段时间总结了hadoop中的token认证、yarn任务运行中的token,其中也都提到了delegation token。而最近也遇到了一个问题,问题现象是:flink任务运行超过七天后,由于宿主机异常导致任务失败,继而触发任务的重试,但接连重试几次都是失败的,并且任务的日志也没有聚合,导致无法分析问题失败的原因。最后发现是和delegation token...
Spark与hdfs delegation token过期的排查思路总结
三劫散仙
11-09 3117
hadoop delegation token的问题相对比较混乱和复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
DelegationTokenSecretManager does not run ExpiredTokenRemover thead by default
houzhizhen的专栏
08-10 571
DelegationTokenSecretManager does not run ExpiredTokenRemover thead when in AuthenticationMethod.SIMPLE mode. AbstractDelegationTokenSecretManager.startSecretManager starts ExpiredTokenRemover thr...
【Hadoop】hdfs-site.xml配置文件参数说明
热门推荐
康师傅没有眼泪
10-16 1万+
-- 当全部DN被标记为脏DN的比率高于此阀值,停止不写数据到脏DN的策略,以免造成热点问题(有效的,可写的DN太少,压力太大), dfs.namenode.avoid.write.stale.datanode -->
hadoop 2.2.X 配置参数说明:hdfs-site.xml
无锋剑
03-24 349
<!--Thu Aug 15 20:47:13 2013-->  <configuration>    <property>    <name>dfs.cluster.administrators</name>    <value> hdfs</value><!-- HDFS 超级管理员用户 --&a
HDFS_副本和认证
Regan_Hoo的博客
11-20 502
一、 三副本策略 三副本策略的含义1)如果写请求方所在机器是其中一个DataNode,则直接存放在本地,否则随机在集群中选择一个DataNode2)第二个副本存放在不同于第一个副本所在的机架3)第三个副本存放于第二个副本所在的机架,但是属于不同的节点 三副本策略的使用需要开启机架感知功能,才能正常使用副本放置策略:<name>net.topology.script.file.name</name>
hadoop三个配置文件的参数含义说明
一个2年工作经验的程序测试员
05-19 1481
1 获取默认配置 配置hadoop,主要是配置core-site.xml,hdfs-site.xml,mapred-site.xml三个配置文件,默认下来,这些配置文件都是空的,所以很难知道这些配置文件有哪些配置可以生效,上网找的配置可能因为各个hadoop版本不同,导致无法生效。浏览更多的配置,有两个方法: 1.选择相应版本的hadoop,下载解压后,搜索*.xml,找到core-d...
【Hadoop】36-安全性
通往神秘的道路的专栏
08-30 1085
早期版本的Hadoop假定HDFS和MapReduce集群运行在安全环境中,由一组相互合作的用户所操作,因而访问控制措施的目标是防止偶然的数据丢失,而非阻止非授权的数据访问。例如,HDFS中的文件许可模块会阻止用户由于程序漏洞而毁坏整个文件系统,也会阻止运行不小心输人的hadoop fs -rmr /指令,但却无法阻止某个恶意用户假冒root身份来访问或删除集群中的某些数据。 从安全角度分析,Ha...
Hadoop参数汇总
01-04 2002
Hadoop参数汇总 @(hadoop)[配置] linux参数 以下参数最好优化一下: 文件描述符ulimit -n 用户最大进程 nproc (hbase需要 hbse book) 关闭swap分区 设置合理的预读取缓冲区 Linux的内核的IO调度器 JVM参数 JVM方面的优化项Hadoop Performance Tuning Guide Hadoop参数大全 适用
Hadoop2.3.0详细安装过程
begefefsef的博客
04-18 2331
前言: Hadoop实现了一个分布式文件系统(Hadoop Distributed File System),简称HDFS。HDFS有高容错性的特点,并且设计用来部署在低廉的(low-cost)硬件上;而且它提供高吞吐量(high throughput)来访问应用程序的数据,适合那些有着超大数据集(large data set)的应用程序。HDFS放宽了(relax)POSIX的要求,可以以流的形式访问(streaming access)文件系统中的数据。 Hadoop的框架最核心的设计就是:HDFS和Ma
解释一下hive的如下参数:hive.cluster.delegation.token.store.class
最新发布
03-08
<think>嗯,用户问的是Hive的参数hive.cluster.delegation.token.store.class,我需要先理解这个参数的作用。Hive的安全机制涉及Delegation Token,这个参数应该和Token的存储方式有关。 首先,Hive在处理分布式任务时,比如提交到YARN,需要确保任务之间的安全通信。Delegation Token在这里起到认证的作用,避免频繁输入密码。而存储这些Token的方式由这个参数指定。 接下来,这个参数的默认值是什么?我记得Hive中有两种存储方式,一种是基于内存的,另一种是基于数据库或者ZooKeeper的。默认情况下,可能使用内存存储,比如org.apache.hadoop.hive.thrift.MemoryTokenStore。但如果在高可用或者需要持久化的环境中,可能会用ZooKeeper的实现类,比如ZKDelegationTokenStore。 然后,需要解释不同存储方式的适用场景。内存存储简单,但不适合集群环境,重启后Token会丢失。而ZK或者数据库存储则支持持久化和集群共享,适合生产环境。 用户可能是在配置Hive时遇到问题,或者想优化安全配置。需要说明如何根据集群环境选择合适的存储类,并给出配置示例,比如在hive-site.xml中设置参数。还要注意版本兼容性,不同Hive版本可能支持的类不同,提醒用户查阅对应文档。 最后,确认回答是否覆盖了参数的作用、默认值、可选值、配置方法和使用场景,确保用户能理解如何应用这个参数到实际配置中。</think>Hive 的 `hive.cluster.delegation.token.store.class` 参数是用于控制 **Hive Delegation Token(委托令牌)存储方式** 的核心配置项。以下是详细解释: --- ### **作用背景** - **Delegation Token 的作用** 在 Hadoop 生态中,Delegation Token 是 Kerberos 认证的轻量级替代机制,用于短期身份验证。Hive 在执行分布式任务(如提交到 YARN)时,需确保任务间通信的安全性。 - 例如:HiveServer2 向 YARN 提交任务时,需要 Delegation Token 证明身份,而无需反复输入密码。 - **为什么需要存储 Token** Token 需要持久化存储以支持: 1. Token 续订(Renewal) 2. 高可用场景下多 HiveServer2 实例共享 Token 3. 服务重启后 Token 恢复 --- ### **参数详解** - **功能定义** `hive.cluster.delegation.token.store.class` 指定 Delegation Token 的存储实现类。Hive 通过该配置决定如何持久化和管理 Token。 - **默认值** - **Hive 1.x/2.x**:默认使用基于内存的存储 `org.apache.hadoop.hive.thrift.MemoryTokenStore` (Token 存储在内存中,服务重启后丢失,仅适合测试环境)。 - **Hive 3.x+**:推荐使用 ZooKeeper 或数据库存储(如 `org.apache.hadoop.hive.thrift.ZooKeeperTokenStore`)。 - **常用可选值** | 实现类 | 存储方式 | 适用场景 | |-------------------------------------------|------------------|----------------------------| | `MemoryTokenStore` | 内存 | 开发/测试环境(无持久化) | | `ZooKeeperTokenStore` | ZooKeeper | 生产环境(高可用、持久化) | | `JdbcTokenStore` | 数据库(如 MySQL)| 生产环境(需外部数据库支持) | --- ### **配置方法** 在 `hive-site.xml` 中配置(以 ZooKeeper 为例): ```xml <property> <name>hive.cluster.delegation.token.store.class</name> <value>org.apache.hadoop.hive.thrift.ZooKeeperTokenStore</value> </property> <property> <name>hive.cluster.delegation.token.store.zookeeper.connectString</name> <value>zk_host1:2181,zk_host2:2181</value> <!-- ZooKeeper 地址 --> </property> ``` --- ### **注意事项** 1. **高可用场景** 若部署多 HiveServer2 实例,必须使用 ZooKeeper 或数据库存储,否则 Token 无法共享,导致任务失败。 2. **安全性** - ZooKeeper 需启用 ACL 和加密通信(如 SASL)。 - 数据库存储需配置连接池和权限控制。 3. **版本兼容性** Hive 3.x 默认推荐 ZooKeeper 存储,而 Hive 4.x 可能引入新实现类,需参考对应版本文档。 --- ### **总结** 通过 `hive.cluster.delegation.token.store.class`,Hive 实现了 Delegation Token 的灵活存储。生产环境中建议使用 ZooKeeper 或数据库存储,以确保 Token 持久化和高可用性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值