Hadoop安全实践

最新推荐文章于 2022-04-12 08:54:19 发布
原创 最新推荐文章于 2022-04-12 08:54:19 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#美团技术

前言

在2014年初,我们将线上使用的 Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。

背景

集群安全措施相对薄弱

最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显得颇为重要。说到安全问题,一般包括如下方面:

  • 用户认证(Authentication) 即是对用户身份进行核对, 确认用户即是其声明的身份, 这里包括用户和服务的认证。

  • 用户授权(Authorization) 即是权限控制,对特定资源, 特定访问用户进行授权或拒绝访问。用户授权是建立再用户认证的基础上, 没有可靠的用户认证谈不上用户授权。

未开启安全认证时,Hadoop 是以客户端提供的用户名作为用户凭证, 一般即是发起任务的Unix 用户。一般线上机器部署服务会采用统一账号,当以统一账号部署集群时,所有执行 Hadoop 任务的用户都是集群的超级管理员,容易发生误操作。即便是以管理员账号部署集群,恶意用户在客户端仍然可以冒充管理员账号执行。

集群整体升级到 hadoop 2.0

2013年10月份 Hadoop 2.2.0 发布,作为 Apache Hadoop 2.X 的 GA 版本。我们考虑将集群整体升级 Hadoop 2.2.0,进入 yarn 时代。与此同时,我们计划在升级过程中一并把集群安全工作做到位,主要基于以下考虑: * 与升级工作一样,安全同样是基础工作,把安全搞好会方便我们后续的工作,否则会成为下一个阻碍。 * 所谓基础工作,就是越往后改动越难的工作,目前不做,将来依赖更多,开展代价更大。

综上,我们的需求是在低版本hadoop升级到Yarn的过程中部署Hadoop安全认证,做好认证之后我们可以在此之上开启适当的权限控制(hdfs, 队列)。

方案调研

在方案调研之前先明确以下安全实践的原则,如下: * 做为一个后端服务平台,部署安全的主要目的是防止用户误操作导致的事故(比如误删数据,误操作等) * 做安全是为了开放,开放的前提是保证基本的安全,数据安全与平台安全 * 在保证安全的前提下,尽量简化运维

分析我们遇到的问题,这里我们需要调研: * 账号拆分与相应管理方案 * 开启 Hadoop 安全认证 * 客户端针对安全认证的相应调整

账号拆分与相应管理方案

集群账号管理

原先我们使用单一账号作为集群管理员,且这一账号为线上统一登录账号, 这存在极大的安全隐患。我们需要使用特殊账号来管理集群。这里涉及的问题是,我们需要几个运维账号呢? 一种简单的做法是使用一个特殊运维账号(比如 hadoop), CDHApache官方 都推荐按服务划分分账号来启动集群:

User:Group Daemons
hdfs:hadoop NameNode, Secondary NameNode, Checkpoint Node, Backup Node, DataNode
yarn:hadoop ResourceManager, NodeManager
mapred:hadoop MapReduce JobHistory Server

考虑到精细化控制可以有效避免误操作,这里我们遵循官方的建议使用多账号。 在从单一运维账号迁移到多个账号部署时,需要考虑相关文件权限问题,包括本地以及hdfs两部分,这可以在安全部署上线时完成相应改动。

用户账号管理

美团很多小组都有使用 Hadoop 来进行大数据处理需求, 故需要一定程度的多租户环境, 这里主要考虑其中的数据和操作的权限问题。hdfs 本身仅提供类 Unix 的权限系统, 默认的组概念也相对鸡肋。鉴于此,在多用户的管理上可以有简单粗暴的方案: > 不同组有各自的根目录,使用不同的账号,对组内文件有全部权限。不同组之间相互不能访问数据(除非手动修改)。

在一个集中的数据仓库环境下,又要生产各个部门的统计数据的话,上述策略不够灵活。目前Cloudera 有一个精细化权限控制的解决方案 sentry, 支持 Role based 的权限管理。由于其定制化较高,不方便使用, 故暂未考虑。

开启 Hadoop 安全认证

Hadoop 的安全认证是基于 Kerberos 实现的。 Kerberos 是一个网络身份验证协议,用户只需输入身份验证信息,验证通过获取票据即可访问多个接入 Kerberos 的服务, 机器的单点登录也可以基于此协议完成的。 Hadoop 本身并不创建用户账号,而是使用 Kerberos 协议来进行用户身份验证,从Kerberos凭证中的用户信息获取用户账号, 这样一来跟实际用户运行的账号也无关。

这里我们从 YARN 上的 MR 任务提交过程简单说明一下:

最低0.47元/天 解锁文章
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
m0_37759590的博客
07-04 1393
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
hadoop 安全设置guide
08-27
观察每个用户在Navigator、Sentry和SQL等组件上的不同访问权限,以加深对Hadoop安全设置的理解。 总结来说,确保Hadoop集群的安全涉及多个层面,包括认证、授权、数据保护和数据治理。通过有效的安全管理,你可以...
Hadoop安全认证(2)
热门推荐
行人事,知天命
08-02 1万+
凭证过期处理策略 在最早的 Security features for Hadoop 设计中提出这样的假设: A Hadoop job will run no longer than 7 days (configurable) on a MapReduce cluster or accessing HDFS from the job will fail.
Caused by: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException):
Mr.Zheng的博客
05-15 2245
Caused by: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.AccessControlException): Permission denied: user=swimer, access=EXECUTE, inode="/tmp/hive":zhengkw:supergroup:drwxrwx— windows环境下,idea编写spark-sql访问hive权限问题 hive是在HDFS上的,一般作为数据仓库,.
java ugi确认框_Java HookContext.getUgi方法代码示例
weixin_39980129的博客
02-25 149
import org.apache.hadoop.hive.ql.hooks.HookContext; //导入方法依赖的package包/类@Overridepublic void run(final HookContext hookContext) throws Exception {// clone to avoid concurrent accesstry {final HiveEvent...
Hadoop构建数据仓库实践1_hadoop_
10-03
实践指南将深入探讨如何利用Hadoop来构建高效的数据仓库系统,以此来提升数据分析的效率和准确性。作者王雪迎通过实际案例,将这一过程分解为可操作的步骤,帮助读者理解和掌握这一技术。 首先,我们要理解Hadoop...
Hadoop安全体系介绍以及实践分享.pdf
09-10
本文主要讨论了Hadoop安全体系,特别是针对数据安全和运维安全两方面,同时也涉及到了相关的安全实践和培训内容。以下是对这些知识点的详细阐述: 1. **数据安全**: - **密码破解与恶意用户入侵**:Hadoop平台...
大数据Hadoop快速实践指南v1.0
最新发布
03-12
大数据技术概述: 大数据技术是一系列用于处理、存储和分析海量数据集的技术和工具。...通过Hadoop等大数据技术实践,可以更好地理解如何搭建和优化大数据处理环境,从而高效地处理和分析大量数据,为决策提供支持。
java连接不上impala,在kerberos身份验证下使用JDBC连接到Impala时出错
weixin_39837727的博客
03-16 390
杨魅力验证jdbc连接的一种方法是使用ugi.doAs。这是示例代码:// 1. login use keytabSystem.setProperty("java.security.krb5.realm", "XXX.COM");System.setProperty("java.security.krb5.kdc", "kdcXXX");Configuration conf = new Confi...
报错:Sqoop2 Exception: java.lang.NoSuchMethodError Message: org.apache.hadoop.security.authentication....
weixin_30883311的博客
04-17 369
报错过程: 进入sqoop2之后, 输入命令:show connector,报错 报错现象: Exception has occurred during processing command Exception: java.lang.NoSuchMethodError Message: org.apache.hadoop.security.authentication.client.Aut...
Hadoop授权令牌解释(原标题 Hadoop Delegation Tokens Explained)
hxiaowang的博客
06-09 5706
转载:https://blog.cloudera.com/hadoop-delegation-tokens-explained/ 很好的文章,但是要翻墙转载给国内的伙伴,有问题请联系删除 第一部分谷歌翻译版;下边有英语版 Apache Hadoop安全性是在2009年左右设计和实施的,此后一直保持稳定。但是,由于缺少有关此领域的文档,因此出现问题时很难理解或调试。设计了委托令牌,并将其作为身份验证方法在Hadoop生态系统中广泛使用。这篇博客文章介绍了Hadoop分布式文件系统(HDF...
hadoop web 端口安全认证
sunyang098的博客
09-21 5105
Hadoop集群配置完成,web监控界面的50070和50030端口不需用户验证即可访问,对生产环境是不容许的,需要加上安全机制。 1、修改core-site.xml,增加如下内容,配置完成后拷贝到其他节点上。         hadoop.http.filter.initializers     org.apache.hadoop.security.AuthenticationFilt
大数据Hadoop系列之Hadoop Web控制台添加身份验证
m0_67392409的博客
04-12 2103
1. 背景介绍 本文档介绍如何配置Hadoop HTTP Web控制台以要求用户身份验证。 默认情况下,Hadoop HTTP Web控制台(ResourceManager,NameNode,NodeManagers和DataNodes)允许访问而无需任何形式的身份验证。 可以将Hadoop HTTP Web控制台配置为使用HTTP SPNEGO协议(Firefox和Internet Explorer等浏览器支持)进行Kerberos身份验证。 此外,Hadoop HTTP Web控制台支持相当于Hado
java ugi确认框_在对hadoop进行任何操作之前,我应该调用ugi.checkTGTAndReloginFrom
weixin_42571280的博客
02-25 588
Hadoop提交者在这里!这是一个很好的问题。不幸的是,如果不深入研究应用程序的特定使用模式,很难给出明确的答案。相反,我可以提供一般准则,并描述Hadoop何时为您自动处理票证更新或从keytab重新登录,以及何时不这样做。Hadoop生态系统中Kerberos身份验证的主要用例是Hadoop的RPC框架,该框架使用SASL进行身份验证。Hadoop生态系统中的大多数守护进程都通过UserGro...
hive启动报错---java.net.UnknownHostException: cluster
sunqingok的博客
12-16 5981
hive启动时报错如下: Exception in thread “main” java.lang.IllegalArgumentException: java.net.UnknownHostException: cluster at org.apache.hadoop.security.SecurityUtil.buildTokenService(SecurityUtil.java:377) a...
hadoop任务执行时,报错
11-09 2210
2020-11-06 03:42:43,205 ERROR org.apache.hadoop.yarn.server.resourcemanager.scheduler.SchedulerApplicationAttempt: Error trying to assign container token and NM token to an allocated container container_1604647286933_0002_01_000001 java.lang.IllegalArgumen
hadoop java api 作业创建_用java api在hadoop上 创建文件报错
weixin_42350951的博客
02-13 527
用java api在hadoop上 创建文件报错hadoop-2.6.0-cdh5.7.0 jdk1.7.0_79 我再windows 下 操作一台部署了hdfs 的ubuntu server 。创建文件夹可以,但是创建文件并写文件时报错:org.apache.hadoop.ipc.RemoteException(java.io.IOException): File /hdfsapi/test1/...
Hadoop HA HDFS启动错误之org.apache.hadoop.ipc.Client: Retrying connect to server问题解决
weixin_33949359的博客
03-19 2083
近日,在搭建Hadoop HA QJM集群的时候,出现一个问题,如本文标题。网上有很多HA的博文,其实比较好的博文就是官方文档,讲的已经非常详细。所以,HA的搭建这里不再赘述。本文就想给出一篇org.apache.hadoop.ipc.Client: Retrying connect to server错误的解决的方法。因为在搜索引擎中输入了错误问题,没有找到一篇解决问题的。...
构建安全Hadoop:端到端策略与实践
6. **安全管理工具**:例如Apache Sentry提供角色基础的权限管理和访问控制,而Apache Ranger则提供了一套全面的Hadoop安全解决方案,包括对HDFS、Hive、HBase等的细粒度访问控制。 7. **安全配置**:正确配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值