美团数据平台Kerberos优化实战

最新推荐文章于 2023-10-31 23:44:33 发布
原创 最新推荐文章于 2023-10-31 23:44:33 发布 · 279 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#美团技术

针对美团数据平台KDC服务处理能力不足和监控不可靠的问题,本文通过压测实验,优化了KDC服务的多进程、RAID配置及PREAUTH属性,使单服务器处理性能提升10倍以上,并设计了KDC监控接口,提高了服务的可靠性。

背景

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户端、服务器端的应用程序提供强大的认证服务。

作为一种可信任的第三方认证服务,Kerberos是通过传统的密码技术(如:共享密钥)执行认证服务的,被Client和Server同时信任。KDC是对该协议中第三方认证服务的一种具体实现,一直以来都是美团数据平台的核心服务之一,在Hive、HDFS、YARN等开源组件的权限认证方面有着广泛的应用。该服务将认证的密钥事先部署在集群的节点上,集群或者新节点启动时,相应节点使用密钥得到认证。只有被认证过节点才能被集群所接纳。企图冒充的节点由于没有相关密钥信息,无法与集群内部的节点通信,从而有效的确保了数据的安全性、节点的可信赖性。

但随着平台业务的快速增长,当前线上KDC的处理能力不足和不能可靠监控的问题被凸显的日益严重:线上单台KDC服务器最大承受QPS是多少?哪台KDC的服务即将出现压力过大的问题?为什么机器的资源非常空闲,KDC的压力却会过大?如何优化?优化后瓶颈在哪儿?如何保证监控指标的全面性、可靠性和准确性?这都是本文需要回答的问题。从本次优化工作达成的最终结果上来看,单台服务器每秒的处理性能提升16倍左右,另外通过共享内存的方式设计了一个获取KDC各项核心指标的接口,使得服务的可用性进一步提升。

为方便大家,表1总结并解释了本文中后续会涉及到一些专业名词的简称:

表1 专业名词解释

图1为美团数据平台KDC当前服务架构,目前整个KDC服务部署在同一个IDC。

图1 KDC主体流程图

KDC原理介绍

Client、 KDC和Server在认证阶段主要有Client和KDC的AS、Client和KDC的TGS以及Client和Server的交互三个过程,下文将详细介绍三个过程的交互,其中图2中的步骤1和2、3和4、5和6分别对应下文的A、B、C三部分:

图2 KDC原理图

A. Client和AS的交互

  1. 用户以明文的形式发送自己的信息、以及想要申请的TGT Principal(默认为KDC的TGT:krbtgt/REALM@REALM)等信息给AS服务;
  2. AS服务验证该用户信息存在数据库中后,给客户端返回两大块信息:
    • 使用用户的密钥加密其申请的TGT和一个Session Key返回用户,用户得到加密信息后,使用自己密钥解密得到其申请的TGT和Session Key(后续都简称 SKCandK)。
    • 以KDC自身密钥加密用户申请的TGT、SKCandK、用户自己信息等;简称{TGT}Ktgs,该部分信息被Client保存在本地。

B. Client和TGS的交互

  1. Client访问TGS获取访问网路中某一Server的ticket请求。Client端会把第一部分中保存在本地的{TGT}Ktgs和用SKCandK加密的客户端信息发送KDC的TGS模块;
  2. TGS收到请求后,检查请求Server存在数据库中后,用自己的密钥解密得到TGT中的SKCandK,然后便可以解密得到用户的信息并验证其合法性;通过后,TGS会生成一个新的Session Key,简称SKCandS;同时返回两部分信息:
    • 用SKCandK加密的SKCandS、能够访问Ser
最低0.47元/天 解锁文章
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6966
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 8001
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos 认证系统由来适用场景优缺点
wang2leee的博客
10-31 1256
Kerberos 认证系统的由来源于开放式网络环境中的安全需求。为了解决这一问题,研究人员提出了 Kerberos 认证系统,它采用第三方认证服务来验证用户身份,提高了网络环境的安全性。Kerberos 的命名方案主要采用一种独特的方式,将用户、服务器和认证服务器的标识信息进行编码。Kerberos 认证系统的设计初衷是为了在开放式网络环境中提供一种可靠、安全的认证方式。该系统在 MIT 的 Athena 项目中得到了广泛应用,并成为当今网络环境中重要的认证基础设施之一。
加密算法与大数据安全
noobiee的博客
10-24 1197
对称加密方法使用单个加密密钥来加密和解密数据。对这两个操作使用单个键使其成为一个简单的过程,因此称为“对称”。对称加密的最突出特征是其过程的简单性。这种加密的这种简单性在于使用单个密钥进行加密和解密。AES代表“高级加密系统”,是最广泛使用的加密算法之一,并且是DES算法的替代方法。AES也称为Rijndael,在2001年经NIST批准后成为一种加密标准。与DES不同,AES是一组分组密码,由不同密钥长度和分组大小的密码组成。AES致力于替代和置换方法。
藏经阁-美团点评数据平台融合实战.pdf
08-29
藏经阁-美团点评数据平台融合实战 本文档主要介绍了美团点评数据平台的融合实战经验,涵盖了数据平台的架构设计、数据处理、数据分析等多个方面。以下是本文档中所涉及到的知识点: 1. 大数据平台架构设计:文档中...
精选资源
藏经阁-美团点评数据平台融合实践.pdf
09-11
藏经阁-美团点评数据平台融合实践 标签: 阿里云 描述: 本文档介绍了美团点评数据平台的融合实践,涵盖了数据平台的架构设计、数据处理和分析、数据安全等多个方面。 标题: 藏经阁-美团点评数据平台融合实践 以下...
美团点评数据平台融合架构.pdf
10-14
美团点评数据平台融合架构】 美团点评作为中国领先的本地生活服务平台,其数据平台融合架构是支撑业务高效运行的关键。在2017年的ArchSummit大会上,美团点评分享了他们在构建这一架构时的经验与技术选型,以实现...
美团点评数据平台融合实践.pdf
10-13
本文主要探讨了美团点评在数据平台融合实践中的解决方案,旨在提升数据处理效率和业务价值。在这个过程中,美团点评面临的主要挑战是如何将不同的数据源有效地整合在一起,以支持其业务的发展。 首先,美团点评采用...
试工具
bigdataf的博客
02-20 932
1.siege a.安装 $ wget http://download.joedog.org/siege/siege-latest.tar.gz $ tar -xvf siege-latest.tar.gz $ cd siege-4.0.4/ $ ./configure $ make && make install b.使用 $ siege -c10(10个线程) -t10s...
使用 Apache Jmeter 进行 NTLM 和 Kerberos 认证
Matthew的博客
02-14 2909
使用 Apache Jmeter 进行 NTLM 和 Kerberos 认证 1. 实验环境 Windows 2008 Active Directory:  2k8alpha.com IIS 7.5 开启 Kerberos 认证:
Kerberos + OpenLDAP集成
在路上
12-18 2107
最近研究了下Kerberos + OpenLDAP的集成,得出结论如下: 1、Kerberos 与OpenLDAP是两套分别独立的用户认证系统 2、OpenLDAP主要做用户管理,其可以作为Kerberos的用户存储数据库 3、OpenLDAP可以与SSSD、SSH集成来作为Linux远程登录用户管理 4、对于大数据平台比如CDH,可以集成Kerberos也可以集成OpenLDAP,但是集...
[Kerberos基础]-- kdc集群主从搭建(kerberos相关)
热门推荐
欢迎来到我的博客,一起探索代码里的世界!
03-02 1万+
主机规划 10.10.100.94   master 10.10.100.93   slave 10.10.100.92   client   (一)环境:  名称            版本         CentOS        CentOS release 6.7(Final)        Kerberos        krb5-server-1.10.3-57.e...
kerberos管理开发总结
Show something
11-21 3145
从10月23日左右,到10月27日搬完代码,到今天11月20日;小一个月已经过去了; kerberos管理所花的时间超出了我的预期。 当然,中间出了很多七七八八的是,干扰了开发。 比如,xjl事件,联通总部数据域项目,以及一些其他的事情。 好在现在基本开发完了,还有一些小瑕疵,可留在后续解决,现在急需对过去一月的工作进行总结整理。 通过这次开发,大量借用ambar
Kerberos
weixin_33850015的博客
01-08 767
一、Kerberos Concept Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务,为通信双方提供双向身份认证。 Kerberos关键术语: KDC提供两大主要功能:认证服务器(Authentication Service,AS)和票据授权服务(Ticket Granting Service,TGS)。AS负责对用户和服务进行认证,T...
kerberos认证协议
路虽远,行将至。事虽难,做必达。
03-07 1776
kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 kerberos和NTLM的区别: 在kerberos之前,Microsoft使用一种称为NTLM...
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1200
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7567
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/域渗透)
冬萍子癸水
04-17 3273
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
CDH 5.15.1集群Kerberos安全认证实战指南
"该文档详细介绍了在CDH...对于Kafka而言,这意味着生产者和消费者需要持有有效的Kerberos票据才能进行数据交互,增强了整个系统的安全性。在实际操作中,可能还需要对Kafka的配置文件进行相应调整以支持Kerberos认证。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值