罗仲虎的博客

身份验证是任何计算环境的基本安全要求。由于 Hadoop 将多个不同且先前独立的 IT 系统的功能整合为一个企业数据中心，用于存储和处理组织内的所有数据，因此需要多种授权控制，具有不同的细粒度。由于 SSL 的术语仍被广泛使用，Cloudera 的软件和文档中将 TLS 称为 TLS/SSL，但实际上使用的协议是 TLS。如何你长期管理过CDP集群，你就会发现，一旦集群开启了Kerberos认证，如果有新的用户或者业务要访问集群，新用户或业务所在的服务器也必须被纳入集群的Kerberos认证体系内。

集群的动态数据加密主要指的是加密通过网络协议传输的数据，防止数据在传输的过程中被窃取。由于大数据设计的主机及服务众多。你需要更具集群的实际环境来评估需要为哪些环节实施动态加密。这里我们介绍一种通过Cloudera Manager 的Auto-TLS功能来为整个Cloudera Manager层面开启动态加密的步骤。开启后将会发生以下变化我这里只为Cloudera Manager开启TLS 加密，并不打算为CDP的服务启用TLS/SSL，因为开启后所有服务的使用方式都会发生改变。这是一个非常大的变更。

loudera 支持两种加密组件，这些组件可以组合成独特的解决方案。在选择密钥管理系统（KMS）时，您需要决定哪些组件能够满足企业的密钥管理和加密需求。Ranger 扩展了 Hadoop 原生 KMS 的功能，允许将密钥存储在安全的数据库中。它是一个支持 HDFS TDE（透明数据加密）的密码密钥管理服务，但并非通用密钥管理系统。与 Hadoop KMS 不同，Hadoop KMS 将密钥存储在基于文件的 Java Keystore 中，仅能通过 KeyProvider API 访问。

Apache Knox Gateway（简称“Knox”）是一个系统，旨在不降低Hadoop安全性的前提下，将Apache™ Hadoop®服务的范围扩展到Hadoop集群外部的用户。Knox还为访问集群数据和执行作业的用户简化了Hadoop安全性。Knox Gateway被设计为反向代理。在Hadoop中，通过强身份验证建立用户身份是实现安全访问的基础。用户需要可靠地进行身份验证，然后该身份将在整个Hadoop集群中传播，以便访问集群资源。

审核更改 命令详细信息 汇总[二]开启服务的Ranger授权1-开启hdfs的ranger授权2-开启Yarn的Ranger授权3-开启hive的Ranger授权4-开启hive on tez的ranger授权5-开启Impala的Ranger授权6-开启Hbase的Ranger授权

TKT，即票据授予票据，可以形象地比喻为一把“万能钥匙”。在Kerberos认证系统中，当你（作为客户端）想要访问某个服务（如服务器上的某个文件或数据库）时，你首先需要向Kerberos认证中心（Key Distribution Center, KDC）证明你的身份。这个属性对于Kerberos认证过程尤为重要，因为它决定了在AD环境中，哪些加密类型可以被用于票据（ticket）的加密和会话密钥的生成。当你（持有TKT的客户端）来到这个中心，并请求访问某个特定服务的权限时，TGS会检查你的TKT是否有效。

否则AD DC将无法完成初始化，等初始话AD DC完成后再安装类似次步骤添加AD证书服务。现在我们给先建的Cloudera OU指派完全管理员scm用户。以下操作在linux所有主机上执行。

密码复杂度不够，修改unicodePwd::使其更为复杂。

【警告】为 HBase 配置 JVM 垃圾回收是一项高级操作。配置不当可能对集群的性能产生重大影响。请仔细测试任何配置更改。【警告】使用 OpenJDK 11 时，Cloudera Manager 和大多数 Cloudera Runtime 服务使用 G1GC 作为默认的垃圾回收方法。（Java 8 使用“ConcurrentMarkSweep”（CMS）进行垃圾回收。）使用 G1GC 时，垃圾回收的暂停时间更短，因此组件通常会更加响应，但它们对内存过度分配更加敏感。

调用。

本文详细演示了CDP7.3的安装过程