HBase ThriftServer Kerberos认证

最新推荐文章于 2023-04-27 22:48:25 发布
最新推荐文章于 2023-04-27 22:48:25 发布
阅读量1.9k 收藏 3
点赞数
文章标签: 大数据 java php
原文链接:https://yq.aliyun.com/articles/335976
版权

1.前置

用户可以通过ThriftServer来访问HBase服务,它的特点如下:

  • ThriftServer代理用户访问HBase服务返回操作结果,用户客户端不需要直接跟HBase进行通信
  • 用户可以使用java/python/php/c++等语言的Thrift客户端代码访问HBase服务(HBase本身客户端只支持java语言)

2. Kerberos下的ThriftServer使用

如果HBase集群开启了Kerberos认证(E-MapReduce可一键创建安全集群,非常方便),那么用户怎么通过ThriftServer访问HBase服务呢?

2.1 ThriftServer配置Kerberos

ThriftServer其实是HBase服务的客户端,既然HBase开启了Kerberos认证,那么ThrifServer也必须配置Kerberos的信息才能正常访问HBase集群服务。

在ThriftServer的hbase-site.xml文件中添加新配置:

  <property>
    <name>hbase.security.authentication</name>
    <value>kerberos</value>
  </property>
    <property>
    <name>hbase.thrift.kerberos.principal</name>
    <value>hbase/_HOST@EMR.123456.COM</value>
  </property>
    <property>
    <name>hbase.thrift.keytab.file</name>
    <value>/etc/ecm/hbase-conf/hbase-thrift.keytab</value>
  </property>

上述配置中实际值以用户为准(principle和keytab需对应)。

2.2 ThriftClient访问ThriftServer

用户使用python/java/php等Thrift客户端访问ThrifServer有两种方式:

2.2.1 ThriftServer不对Client进行身份认证

任何用户都可以通过ThriftServer访问HBase服务,而且都是以ThriftServer本身配置的hbase.thrift.kerberos.principal中的用户名去访问HBase服务,即对HBase服务来说只有一个固定的用户来访问。

如下图所示:
image

这种方式使得HBase集群的Kerberos认证无效,不适合使用开启了Kerberos的场景。

2.2.2 ThriftServer对Client进行身份认证

ThriftServer可以开启对Client进行身份认证,而且以实际的用户身份访问HBase服务。

image

需要做如下配置:

  • ThriftServer的hbase-site.xml中增加新的配置:
  <property>
    <name>hbase.thrift.security.qop</name>
    <value>auth</value>
  </property>

其中hbase.thrift.security.qop可以是auth/auth-init/auth-conf中的一个

  • HBase集群的所有节点core-site.xml中增加新的配置:
  <property>
    <name>hadoop.proxyuser.$user.hosts</name>
    <value>*</value>
  </property>
  <property>
    <name>hadoop.proxyuser.$user.groups</name>
    <value>*</value>
  </property>

备注:
a) $user为ThriftServer本身配置的hbase.thrift.kerberos.principal中的用户
b) 重启HBase集群(无需重启HDFS)

3. 代码示例

上述2.2.2节的场景代码

3.1 python

参考github上一个项目:
https://github.com/joshelser/hbase-thrift1-python-sasl

使用方式在README.md中:

-> 在客户端运行的账号下kinit初始化好Kerberos的TGT
-> ./setup.sh
-> python get_row.py

备注: get_row.py需要根据实际集群的配置修改相关参数

3.2 java

HBase官方的example jar有示例代码:
https://github.com/apache/hbase/tree/master/hbase-examples

https://github.com/apache/hbase/blob/master/hbase-examples/src/main/java/org/apache/hadoop/hbase/thrift/DemoClient.java

-> 在客户端运行的账号下kinit初始化好Kerberos的TGT
->
export HBASE_EXAMPLE_CLASSPATH=`hbase classpath`;

java -cp /usr/lib/hbase-current/lib/hbase-examples-1.1.1.jar:$HBASE_EXAMPLE_CLASSPATH org.apache.hadoop.hbase.thrift.DemoClient $thrift_server_host  $thrift_serve_port true

有兴趣或者有需求的用户可以关注一下E-MapReduce的安全相关的功能,有问题及时联系和反馈。

c7c8f09ebf3cc7795e0dd0da330cec88

Flink源码分析 | 读取HBase配置
主要分享大数据相关的知识,如Spark、Hudi
12-18 1223
上面文章中总结了Flink 获取 HBase 配置的逻辑和优先级,但是并没有对源码进行分析,本文主要是补充这一部分的源码分析。
【Hue警告】必须在 HBase 服务中配置 Thrift Server 角色以使用 Hue HBase Browser 应用程序。
12-14
【问题描述】        今天在打开Hue的UI界面时,报了如下的警告: 必须在 HBase 服务中配置 Thrift Server 角色以使用 Hue HBase Browser 应用程序。 【解决办法】        解决办法就是在HBase中配置Thrift Server服务,具体操作如下:        (1)点击进入HBase详细界面        (2)操作-->添加角色实例        (3)将Thrift Server服务安装在与Hue相同的节点上。        (4)重启集群,结果发现又报了如下的警告: 在HBase Thrift Server属性中选择服务器
Hbase thrift-server
tianyeshiye
06-03 4750
Thrift 简介 Apache Thrift 是 Facebook 实现的一种高效的、支持多种编程语言的远程服务调用的框架。Thrift是由Facebook开发的,并在2008年捐给了Apache基金会,成为了一个孵化器项目。 Thrift是一个软件框架,用来进行可扩展且跨语言的服务的开发。它结合了功能强大的软件堆栈和代码生成引擎 Thrift是一个驱动层接口,它提供了用于客户端使用多种语...
hbase开启thrift进程(ThriftServer服务)
热门推荐
weixin_39810091的博客
05-15 1万+
thrift进程(ThriftServer服务):用于python、c#等连接hbase 1.开启服务:HBASE_HOME/bin/hbase-daemon.sh start thrift 执行完使用jps命令查看是否存在ThriftServer服务 2.关闭服务:HBASE_HOME/bin/hbase-daemon.sh stop thrift
HUE的警告:必须在 HBase 服务中配置 Thrift Server 角色以使用 Hue HBase Browser 应用程序。
weixin_42965737的博客
01-04 1691
警告:必须在 HBase 服务中配置 Thrift Server 角色以使用 Hue HBase Browser 应用程序。 步骤: 1.添加角色实例 2. 为Hbase Thrift Server选择主机 3.在HUE中选择HBase Thrift Server属性中选择服务器以使用Hue HBase Browser应用程序 在界面上勾选即可。 ...
python连接hbasekerberos_配置kerberosHbase连接以及出现的GSSException
weixin_39608063的博客
12-16 999
与hive类似,Hbase的连接可以使用命令行和Java API,另外Hbase还可以使用thrift和rest进行连接。命令行在使用hbase shell命令打开hbase交互界面之前使用kinit命令进行认证即可。HBase native APIs同hive连接一样,http://192.168.2.206:8090/x/ZIAU,需添加hadoop.security.authenticati...
开启kerberos后,hue管理hbase
hao119119的专栏
06-09 4509
在部署hue+hbase thrift的过程中,遇到问题很多,主要以下总结. 1. 代理权限问题:     代理过程中必须保证hue票据用户和hbase thrift票据用户都具有代理权限.      如果hue票据用户缺少代理权限, thrift日志会提示如*** can not do as ***      如果thrift票据用户缺少代理权限, thrift日志会提
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
【描述】:在本文中,我们将探讨如何在两台云主机(实际环境可能需要三台或更多)上安装Hadoop、HBase、Sqoop2、Phoenix以及Kerberos的详细过程,涵盖从伪分布式模式到Kerberos安全认证的完整步骤。 【标签】:...
hadoop生态的kerberos认证系列4-hive
tiki的博客
12-25 499
hadoop生态的kerberos认证系列4-hive一、准备工作二、hive配置1.创建主体文件/凭证2.修改hive的配置文件3.修改hadoop的core-site.xml配置文件三、验证1.启动2.验证 一、准备工作 停掉hadoop集群; 安装好kerberos认证服务; 二、hive配置 本文的节点名为node 1.创建主体文件/凭证 kadmin.local: addprinc hive/node kadmin.local: ktadd -norandkey -k /usr/data//k
Python3通过thrift连接hbase库_修改版,个人已验证
08-22
python3通过thrift连接hbase模块修改版,其中hbase-python3,里面的path,根据实际实际路径修改.
Ambari接管HBase thriftServer及HUE集成HBase
CarbonDioxide12138的博客
07-08 611
Ambari接管HBase thriftServer及HUE集成HBase新建hbase_thriftserver.py上传hbase_thriftserver.py添加执行权限修改metainfo.xml复制HBase service目录到HBASE目录重启ambari-server在Amabri-web安装HBase thriftserver修改hue.ini重启HUE 新建hbase_thriftserver.py #!/usr/bin/env python """ Licensed to the A
一分钟ECS上搭建云HBase Thriftserver
yunqishequ1的博客
10-25 501
点击有惊喜 ​ 这里详细的介绍下客户自己搭建thriftserver的流程以及步骤;通过一步步的演示达到分钟级别在ecs上自构建Thriftserver流程;Thrfitserver是接收各种语言的client的请求,可以是:java/c++/php/python and so on;thriftserver接收客户端请求,然后等于一层proxy机制给HBbase server
HBase Thrift 使用以及Thriftserver 分析
weixin_34241036的博客
09-05 1268
对于thriftserver 我们主要从2个大的方面进行分析:thrift的使用;thriftserver的部署;thriftserver的启动,初始化;thriftserver的读写等请求处理; 一:thrift的使用Thrift的主要目的是方便各个语言可以使用HBasejava,c++,py,PHP,等等;在我们下载下来的hbase的文件里面的下面...
解决ThriftServerhbase相关结点)结点无法停止问题
weixin_52867888的博客
04-27 399
​ 在配置集群时,最好先在主机上配置好相关配置后在scp到从机,减少不必要的麻烦。
1 个验证警告:必须在 HBase 服务中配置 Thrift Server 角色以使用 Hue HBase Browser 应用程序
weixin_42886893的博客
09-10 686
解决办法: 给HBase添加Thrift Server角色, 为了方便, 将Thrift Server添加到Hue同一主机 确定之后点击右下角继续,这一步没有截图 设置后实例列表变成下面 重启, 警告变成:Hue: 在 HBase Thrift Server 属性中选择服务器以使用 Hue HBase Browser 应用程序。 就在Hue配置选项卡下往下滚, 找到如下所示, 选中即可,...
如何使用C++通过thrift访问HBase进行操作
CREATE_17的博客
05-19 1173
前言 上周六,接了一个紧急任务,说实现使用 C++ 访问 HBase 进行操作。说是用 thrift 来实现。对于 C++ 来说,我真的是门外汉,但需求如此,皱着眉头也要把它实现。好歹在同事的帮助下,也是实现了 demo 示例,现在就把这两天的成果分享给大家。 版本 HDP:2.6.4.0 HBase:1.1.2 一、安装编译thrift 1. 准备工作 使用 yum 安装 Develo...
Thrift方式连接hiveServer2+Kerberos
都是浮云
12-09 4608
最近在一个大数据查询平台,后端引擎有部分用了hive,通过thrift的方式连接hiveServer2,由于集群加了kerberos,所以实现thrift连接hiveServer2的时候需要加上kerberos认证。网上查了很多文章,写的thrift连接hive都没有kerberos,分享一下,以供需要通过thrift连接hiveService2并需要开启Kerberos认证的同学一个参考,以便...
kerberos HDP ipa
最新发布
01-03
### 配置 Kerberos 与 IPA 在 Hortonworks Data Platform 中集成 #### 安装和配置 FreeIPA Server 为了使 HDP 能够利用 Kerberos 进行身份验证,首先需要安装并配置 FreeIPA 服务器。FreeIPA 是一个开源的身份管理解决方案,它集成了 LDAP 和 Kerberos 协议来提供集中式的用户管理和认证服务。 确保按照官方文档中的说明完成 FreeIPA 的部署[^1]。这通常涉及设置 DNS 记录、初始化目录以及创建必要的主机和服务主体账户。 #### 获取 GPG 密钥用于软件包签名验证 当从特定仓库获取 HDP 或其工具组件时,建议先导入相应的 GPG 公开密钥以确保下载的安全性和完整性。对于此场景下的 Jenkins 构建版本而言: ```bash rpm --import gpgkey=http://chavin.king/hdp/HDP-UTILS/centos7/1.1.0.22/RPM-GPG-KEY/RPM-GPG-KEY-Jenkins ``` 上述命令会将指定 URL 下的公钥添加到系统的 RPM 数据库中以便后续操作可以信任来自该源的更新或新安装请求[^2]。 #### 设置 Ambari 来启用 Kerberos 支持 Ambari 提供了一个图形化的界面让用户能够轻松地开启集群级别的 Kerberos 功能。进入 Ambari Web UI 并导航至 "Admin" -> "Kerberos", 接着遵循向导提示输入关于 KDC(Key Distribution Center)、管理员凭证以及其他细节的信息。 重要的是要确认所填写的内容匹配之前已经建立好的 FreeIPA 实例参数,并且允许 Ambari 自动处理大部分复杂的配置工作,比如生成所需的 keytab 文件等。 #### 测试 Thrift 服务连接性 一旦完成了以上步骤并且成功启用了整个环境内的 Kerberos 安全机制之后,则可以通过如下方式测试 Thrift 服务是否正常运作: 停止现有的 Thrift 服务实例: ```bash ./hbase-daemon.sh stop thrift ``` 使用 `kinit` 工具加载目标应用程序对应的 keytab 文件来进行身份验证: ```bash kinit -kt /etc/security/keytabs/hbase.headless.keytab hbase-dev_dmp & ``` 重新启动带有自定义端口映射选项的新版 Thrift 服务进程: ```bash /usr/hdp/3.0.0.0-1634/hbase/bin/hbase-daemon.sh start thrift -p 9090 --infoport 8086 ``` 最后通过 HTTP 模式或者二进制模式分别尝试访问远程机器上的 Thrift API 端点, 如下所示: HTTP Mode Test Command: ```bash hbase org.apache.hadoop.hbase.thrift.HttpDoAsClient DEVDIP.ORG 9090 hbase true ``` Binary Mode Test Command: ```bash hbase org.apache.hadoop.hbase.thrift.DemoClient DEVDIP.ORG 9090 true ``` 这些指令可以帮助验证当前环境下 Thrift 服务能否正确响应客户端发起的数据读写请求,在遇到任何异常情况时也便于快速定位问题所在位置[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值