记一次HDFS Delegation Token失效问题

最新推荐文章于 2024-03-08 09:24:59 发布
最新推荐文章于 2024-03-08 09:24:59 发布
阅读量6k 收藏 5
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 大数据 文章标签: kerberos hdp livy spark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012150370/article/details/86518366
本文深入探讨了Kerberos环境下HDFS委托令牌过期问题,特别是在长周期Spark应用中。分析了配置参数的影响,并尝试了多种解决方案,包括调整参数、使用spark-submit参数和配置权限,最终在spark-submit方式下实现了自动续租。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于我们团队是最近上的 Kerberos ,免不了会出现一些问题,现阶段还处于踩坑阶段。希望通过我们的填坑的经历,帮助到同样身处坑内的伙伴。我们使用的 Hortonworks-HDP 环境。

HDFS Delegation Token 问题被发现于一个 Long Running 的 Spark 应用。由于发布周期原因,部分应用超过了 7 天的有效期时间,突然在同一时间,爆发出来。当时觉得很诡异,在查看日志之后,还没有往有效时间方面考虑,还以为是环境问题。遇到的错误信息如下:

org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (token for dmp: HDFS_DELEGATION_TOKEN owner=dmp, renewer=yarn, realUser=livy/test-dmp7.example.org@TESTDIP.ORG, issueDate=1547640792209, maxDate=1547641392209, sequenceNumber=4439, masterKeyId=172) is expired, current time: 2019-01-16 20:21:06,530+0800 expected renewal time: 2019-01-16 20:16:18,863+0800
Caused by: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (token for dmp: HDFS_DELEGATION_TOKEN owner=dmp, renewer=yarn, realUser=livy/test-dmp7.example.org@TESTDIP.ORG, issueDate=1547640792209, maxDate=1547641392209, sequenceNumber=4439, masterKeyId=172) is expired, current time: 2019-01-16 20:21:06,530+0800 expected renewal time: 2019-01-16 20:16:18,863+0800

无巧不成书,另一个团队在使用我们团队的 HBASE ,因而,他们需要使用 Kerberos 认证,在他们的应用上出现了,如下图错误:

在这里插入图片描述

出现的场景,简单描述一下,不是这篇的重点。应用为 Spring Boot 项目,使用 ZK 方式进行认证,在运行时间大于 1 天 之后就会出现该错误。后来问题定位到 Kerberos 中的认证有效期问题。

缘该问题的出现,联想到是否 HDFS Delegation Token 也是 Kerberos 导致的问题呢。故而团队小伙伴进行了论证,先是修改 KDC 有效时间,为了快速论证,将 ticket_lifetime 和 renew_lifetime 都进行了调小处理,使用 Livy Spengo 方式进行提交 Spark 应用,发现在调小之后的 renew_lifetime 时间范围内,没有出现 HDFS Delegation Token 错误信息,结果与预想的出现了偏差,结合线上的问题现象为 7 天过期结果,猜测是否存在另一种配置项,在影响着。

在一篇 hdfs delegation token 过期问题分析 文章中看到了另一种可能性,Hadoop 自身存在一种轻量级认证方式。故而,在 Hadoop 官网 hdfs-default 找到了如下的配置项:

配置项默认值说明
dfs.namenode.delegation.key.update-interval86400000The update interval for master key for delegation tokens in the namenode in milliseconds.
dfs.namenode.delegation.token.max-lifetime604800000The maximum lifetime in milliseconds for which a delegation token is valid.
dfs.namenode.delegation.token.renew-interval86400000The renewal interval for delegation token in milliseconds.

从默认值看,似乎可以解释现象,一切通过实践出真知。也是通过对这三个参数进行相应的调小操作,结果现象跟猜测的是一致的。所以有理由相信,通过调大上面的这三个参数就可以解决问题。但是,出于安全的考虑,还是希望有不同的解决方案。

如果能在过期的时候,主动进行续租或者重新认证,那应该是最好的解决方法。在 Spark 官网 security 下有一段话是这样的写的:

Long-Running Applications

Long-running applications may run into issues if their run time exceeds the maximum delegation token lifetime configured in services it needs to access.

Spark supports automatically creating new tokens for these applications when running in YARN mode. Kerberos credentials need to be provided to the Spark application via the spark-submit command, using the --principal and --keytab parameters.

The provided keytab will be copied over to the machine running the Application Master via the Hadoop Distributed Cache. For this reason, it’s strongly recommended that both YARN and HDFS be secured with encryption, at least.

The Kerberos login will be periodically renewed using the provided credentials, and new delegation tokens for supported will be created.

--principal, --keytab 这两个参数,在上文中提到,我们团队使用的是 Livy 方式提交应用,而这里是 spark-submit ,Anyway,先进行测试再说,跟官网文档进行实践 spark-submit 方式进行。例子:

./bin/spark-submit \
  --class <main-class> \
  --master <master-url> \
  --deploy-mode <deploy-mode> \
  --conf <key>=<value> \
  --principal <value> \
  --keytab <value> \
  <application-jar> \
  [application-arguments]

还是重重的受到打击,依旧无法自动续租。

在此之后,Google 一番,发现存在 hdfs delegation token 和 Livy 无法正常续租问题大量存在:

也尝试了这些文中所说的方式方法,比如:–conf spark.hadoop.fs.hdfs.impl.disable.cache=true 之类的。尝试了 livy 和 spark-submit 都失败告终。

在发现 Spark踩坑之Streaming在Kerberos的hadoop中renew失败 该文,里面有这样的配置:

<property>
    <name>yarn.resourcemanager.proxy-user-privileges.enabled</name>
    <value>true</value>
</property>
# xml core-site.xml
<property>
    <name>hadoop.proxyuser.yarn.hosts</name>
    <value>*</value>
</property>
<property>
    <name>hadoop.proxyuser.yarn.groups</name>
    <value>*</value>
</property>

在与自己的环境的配置做对比之后,发现唯一不同的地方是 hadoop.proxyuser.yarn.hosts 的值,我们的配置是 host 地址,已经是死马当活马医的心态,进行尝试,发现在 spark-submit 方式成功了,但 Livy 方式还是以失败告终。但似乎更加相信 Livy 是可以实现的。

尝试使用在 livy 中添加 --keytab 和 --principal 方式提交,在日志中会有 --proxy-user or --principal 的错误信息。livy spengo 是一种代理的方式进行提交。如若添加 --principal 是不支持的。对应的是 spark.yarn.keytabspark.yarn.principal

同时,也检查了 hadoop.proxyuser.livy.hosts 配置是*。貌似问题是 Livy 方式无法将keytab 信息透传到 Yarn 中。希望有碰到相关问题的伙伴,能进行留言进行相应的讨论,以帮助更多的人。

在这里插入图片描述

Spark hadoop票据过期问题HDFS_DELEGATION_TOKEN
01-20
Spark streaming应用运行7天之后,自动退出,日志显示token for xxx(用户名): HDFS_DELEGATION_TOKEN owner=xxxx@xxxx.com, renewer=yarn, realUser=, issueDate=1581323654722, maxDate=1581928454722, sequenceNumber=6445344, masterKeyId=1583) is expired, current time: 2020-02-17 16:37:40,567+0800 expected renewal time: 2020-02-17
sparkThriftserver 长时间运行HDFS_DELEGATION_TOKEN失效问题
zeng6325998的博客
05-18 1740
参考资料:https://github.com/apache/spark/pull/9168 1、背景 sparkThriftserver 运行一天后,有人反馈查询报错,我自己测试了下,确实如此 org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (HDFS_DELEGATION_TOKEN token 93611 for hadoop) ca.
php hdfs thrift,sparkThriftserver 长时间运行HDFS_DELEGATION_TOKEN失效问题
weixin_28977143的博客
04-07 317
1、背景sparkThriftserver 运行一天后,有人反馈查询报错,我自己测试了下,确实如此org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.token.SecretManager$InvalidToken): token (HDFS_DELEGATION_TOKEN token 93611 for hadoop...
一次HDFS Delegation Token失效问题(续)
迹_Jason
01-22 1096
在上篇讲到了,HDFS Delegation Token 问题的解决方法是 Spark-Submit 方式可以进行解决,经过了一段时间的反思和查看 LivySpark-Submit 两者日志之后,有了一点新发现,并且测试认证了,该方式是可行的,那么是怎么实现的呢? 上篇传输门:地址 上文我有提到 livy spengo 是通过代理的方式实现 Kerberos 的认证的,当使用类似于 Sp...
hdfs delegation token 过期问题分析
qq_41587243的博客
12-31 5062
什么是delegation token delegation token其实就是hadoop里一种轻量级认证方法,作为kerberos认证的一种补充。理论上只使用kerberos来认证是足够了,为什么hadoop还要自己开发一套使用delegation token的认证方式呢?这是因为如果在一个很大的分布式系统当中,如果每个节点访问某个服务的时候都使用kerberos来作为认证方式,那么势必对KDC造成很大的压力,KDC就会成为一个系统的瓶颈。 与kerberos的区别 kerberos认证需三方参与,cl
聊聊Hadoop安全认证体系:Delegation Token和Block Access Token
走在前往架构师的路上
11-29 3551
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
HDFS Router-based Federation
小米云技术
07-11 2805
Abstract Hadoop 社区为了解决 HDFS 横向扩展的问题,早前的版本中实现了基于 ViewFs 的 Federation 架构,而在最新的 Hadoop 版本中,社区又实现了基于 Router 的 Federatio n架构,并且在这个架构之上还实现了许多增强集群...
Hadoop配置归档
weixin_44976835的博客
08-24 396
Hadoop常用端口配置 1.HDFS端口 参数 描述 默认 配置文件 例子值 fs.default.name namenode RPC交互端口 8020 core-site.xml hdfs://master:8020/ dfs.http.address NameNode web管理端口 50070 hdfs-site.xml 0.0.0.0:50070 dfs.datanode.address datanode 控制端口 50010 hdfs-site.xml 0.0.0.0:5
大数据之路-Hadoop-5-HDFS原理解析及NameNode、DataNode工作机制
幸运的天才小驴的专栏
01-26 2480
HDFS的工作机制 1 概述 二HDFS写数据流程 1 概述 2 详细步骤图 3 详细步骤解析 三HDFS读数据流程 1 概述 2 详细步骤图 3 详细步骤解析 四NameNode工作机制 1 问题场景 2 NameNode的职责 3 元数据管理 31 元数据存储机制 32 元数据手动查看 33 元数据checkpoint 34 元数据目录说明 五DataNode工作机制 1
hdfs delegation token 过期问题
minghai
05-27 448
https://www.jianshu.com/p/2904334ae404 https://www.jianshu.com/p/617fa722e057
Sparkhdfs delegation token过期的排查思路总结
三劫散仙
11-09 2976
hadoop delegation token问题相对比较混乱和复杂,简单说下这东西的出现背景,最早的hadoop的因没有的完善的安全机制(安全机制主要包括:认证 + 鉴权,hadoop这里主要是身份认证机制没有),所以导致操作风险比较大,你可以理解只要获取了一台装有hadoop client的机器,就可以任意操作HDFS系统了,深究原因是因为hadoop身份认证机制太薄弱
Hadoop Delegation Token
最新发布
zincooo的博客
03-08 1203
hadoop 委托令牌
一文讲透hdfsdelegation token
hncscwc的博客
07-25 2514
【背景】前一段时间总结了hadoop中的token认证、yarn任务运行中的token,其中也都提到了delegation token。而最近也遇到了一个问题问题现象是:flink任务运行超过七天后,由于宿主机异常导致任务失败,继而触发任务的重试,但接连重试几次都是失败的,并且任务的日志也没有聚合,导致无法分析问题失败的原因。最后发现是和delegation token...
ERROR org.apache.hadoop.yarn.server.resourcemanager.ResourceManager: RECEIVED SIGNAL 15: SIGTERM
蔡先生的专栏
03-17 3万+
重新搭建Hadoop集群,一切配置就绪后,启动集群后,在Master和所有的Slave节点上通过JPS命令都可以看到集群应该启动的进程都已经启动了。通过50070端口也可以查看到所有DataNode处于Live状态,而且可以正常往HDFS上传下载文件。 但是在8088端口查看不到任何Nodes的信息,提交任务到集群,任务一直卡在Accepted状态。 通过查看日志发现提示如下错误: 2016
hadoop常见错误及处理方法
热门推荐
yonghutwo的专栏
06-30 5万+
如果大家在安装的时候遇到问题,或者按步骤安装完后却不能运行Hadoop,那么建议仔细查看日志信息,Hadoop录了详尽的日志信息,日志文件保存在logs文件夹内。 无论是启动,还是以后会经常用到的MapReduce中的每一个job,以及HDFS等相关信息,Hadoop均存有日志文件以供分析。 1、hadoop-root-datanode-master.log 中有如下错误:
Hadoop分析日志实例的详细步骤及出现的问题分析和解决
wuzhilon88的专栏
01-08 8699
1). 日志格式分析 首先分析 Hadoop 的日志格式, 日志是一行一条, 日志格式可以依次描述为:日期、时间、级别、相关类和提示信息。如下所示: 2014-01-07 00:31:25,393 INFO org.apache.hadoop.mapred.JobTracker: SHUTDOWN_MSG:  /****************************************
【Yarn】 Yarn ResourceManager、ApplicationMaster 容错机制
九师兄
02-11 594
我们在文章【Yarn】 Yarn ResourceManager 重启机制中我们学到了ResourceManager Restart重启机制是使RM在重启动时能够使Yarn集群正常工作的特性,并且使RM的出现的失败不被用户知道。YARN容错机制-hadoop这篇文件对容错机制有了进一步的解释。在现实情况中,用户代码错误不断,进程奔溃,机器故障等等。使用hadoop的好处之一就是可以它能处理这类故障并成功完成任务。
Ambari开启Kerberos后Web UI访问问题(修改配置)
cz124560的博客
03-23 4103
之前一篇文章讲过在本地kinit 然后再去访问kerberos。有失效时间 ,对于要长期获取jmx等场景并不太适用。 此文讲通过修改hdfs等组件配置 修改webui认证方式的方式 实现访问webui。 修改core-site中此配置为ture hadoop.http.authentication.simple.anonymous.allowed=true hadoop.http.authentication.type=simple hadoop.proxyuser.HTTP.groups=* ha
Hadoop Delegation Tokens详解
victorzzzz的专栏
07-30 2534
转载自:《Hadoop Delegation Tokens详解》 https://www.jianshu.com/p/617fa722e057 本文是cloudera公司的一篇技术博客,原文地址:Hadoop Delegation Tokens Explained 译文 Hadoop Security在2009年被设计并实现,此后趋于稳定。但是,由于相关文档不足,当出现问题时很难理解并进行d...
Hadoop 配置 Kerberos 认证
zhy1379的博客
10-15 6456
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值