基于kerberos的hadoop安全集群搭建

最新推荐文章于 2024-04-27 01:22:46 发布
原创 最新推荐文章于 2024-04-27 01:22:46 发布 · 730 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何在Hadoop集群中搭建基于kerberos的安全环境,包括kerberos账号创建、keytab制作、core-site.xml配置、HDFS、YARN的安全设置,以及datanode的TLS/SSL配置等步骤,确保数据传输的安全性。

[TOC]

上一份工作主要负责大数据平台的建设,在这个过程中积累了一些Hadoop生态组件的搭建和使用笔记,由于时间关系,不打算去修改其中的错别字和排版问题,直接释出原始笔记。

前置条件

我所在的集群有三台服务其,对应的host分别为master,slave1,slave2。hadoop服务的安装分部为

机器host 组件情况
master namenode、datanode、journalnode、resourcemanager、nodemanager、jobhistoryserver
slave1 namenode、datanode、journalnode、resourcemanager、nodemanager
slave2 datanode、journalnode、nodemanager

kerberos相关

首先我们要安装好kerberos,kerberos的安装搭建参考链接 https://www.cnblogs.com/niceshot/p/13216455.html

给hadoop各组件创建kerberos账号

进入kerberos的admin.local后,依次执行下述命令

//组件web服务的princial
addprinc -randkey HTTP/master@TEST.COM
addprinc -randkey HTTP/slave1@TEST.COM
addprinc -randkey HTTP/slave2@TEST.COM

//namenode的princial
addprinc -randkey nn/master@TEST.COM
addprinc -randkey nn/slave1@TEST.COM

//datanode的princial
addprinc -randkey dn/master@TEST.COM    
addprinc -randkey dn/slave1@TEST.COM
addprinc -randkey dn/slave2@TEST.COM

//journalnode的princial
addprinc -randkey jn/master@TEST.COM    
addprinc -randkey jn/slave1@TEST.COM
addprinc -randkey jn/slave2@TEST.COM

//resourcemanager 的princial
addprinc -randkey rm/master@TEST.COM
addprinc -randkey rm/slave1@TEST.COM

//nodemanager的principal
addprinc -randkey nm/master@TEST.COM    
addprinc -randkey nm/slave1@TEST.COM
addprinc -randkey nm/slave2@TEST.COM

//job hisotry server的princial
addprinc -randkey jhs/master@TEST.COM
将这些账号做成keytab

同样是在admin.local中,将上述账号认证信息做成keytab

ktadd -k /opt/keytab_store/http.service.keytab HTTP/master@TEST.COM
ktadd -k /opt/keytab_store/http.service.keytab HTTP/slave1@TEST.COM
ktadd -k /opt/keytab_store/http.service.keytab HTTP/slave2@TEST.COM

ktadd -k /opt/keytab_store/nn.service.keytab nn/master@TEST.COM
ktadd -k /opt/keytab_store/nn.service.keytab nn/slave1@TEST.COM

ktadd -k /opt/keytab_store/dn.service.keytab dn/master@TEST.COM    
ktadd -k /opt/keytab_store/dn.service.keytab dn/slave1@TEST.COM
ktadd -k /opt/keytab_store/dn.service.keytab dn/slave2@TEST.COM

ktadd -k /opt/keytab_store/jn.service.keytab jn/master@TEST.COM    
ktadd -k /opt/keytab_store/jn.service.keytab jn/slave1@TEST.COM
ktadd -k /opt/keytab_store/jn.service.keytab jn/slave2@TEST.COM

ktadd -k /opt/keytab_store/rm.service.keytab rm/master@TEST.COM
ktadd -k /opt/keytab_store/rm.service.keytab rm/slave1@TEST.COM

ktadd -k /opt/keytab_store/nm.service.keytab nm/master@TEST.COM    
ktadd -k /opt/keytab_store/nm.service.keytab nm/slave1@TEST.COM
ktadd -k /opt/keytab_store/nm.service.keytab nm/slave2@TEST.COM

ktadd -k /opt/keytab_store/jhs.service.keytab jhs/master@TEST.COM

多个账号可以做到一个keytab中去,上述的命令做了多个文件,不同组件角色的单独放到了一个keytab文件中。其实内部网络,可以把所有的hadoop相关组件做成一个大的keytab文件,降低配置复杂性。

将上述的keytab文件,分发到集群所有机器

core-site.xml

关键配置

        <property>
                <name>hadoop.security.authentication</name>
                <value>kerberos</value>
        </property>
        <property>
                <name>hadoop.security.authorization</name>
                <value>true</value>
        </property>
        <property>
                <name>hadoop.security.auth_to_local</name>
                <value>
                        RULE:[2:$1/$2@$0]([ndj]n/.*@TEST.COM)s/.*/hdfs/
                        RULE:[2:$1/$2@$0]([rn]m/.*@TEST.COM)s/.*/yarn/
                        RULE:[2:$1/$2@$0](jhs/.*@TEST.COM)s/.*/mapred/
                        DEFAULT
                </value>
        </property>

上述配置的意思是 在整个集群中费用kerberos作为安全认证和授权, hadoop.security.auth_to_local

最低0.47元/天 解锁文章
西北偏北up
关注
hadoophadoop 安装 kerberos
九师兄
04-23 2603
1.概述 本次是视频:【大数据基础】快速掌握Hadoop集成Kerberos安全技术 笔记。 2.环境信息 2.1 版本信息 本次课程基于使用的软件环境如下: 。CDH5.14.4 。hadoop2.6.0-cdh5.14.4 。hive1.1.1-cdh5.14.4 CentOS 6.9 x64操作系统 JDK 1.8 and jdk1.7(for maven) apache-maven-3.0.5 Kerberos 使用在线yum库提供的最新版本 除操作系统外,所有需要用到的安装包,在课件内都有提.
Hadoop集群集成kerberos
SeoHyunChyL的博客
09-29 3693
上周周会领导让研究kerberos,要在我们的大集群中使用,研究任务指派给了我。这周的话也是用测试集群大概的做了一遍。目前为止的研究还比较粗糙,网上众多资料都是CDH的集群,而我们的集群是不是用的CDH,所以在集成kerberos的过程中有一些不同之处。测试环境是由5台机器搭建集群hadoop版本是2.7.2。5台机器host分别是 rm1、rm2、test-nn1、test-nn2、10-1
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
最新发布
2401_84185182的博客
04-27 835
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
kerberos+hadoop搭建
04-01
kerberos+hadoop搭建
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
搭建开启keberos的hadoop集群(1)
HJ_tianyaZD的博客
03-30 638
主机名hadoop101hadoop102hadoop103hadoop104IP组件nn1datanodezookeeperrangerdatanodezookeeperdatanodezookeepernn2mysqlKDC。
Hadoop 配置 Kerberos 认证
zhy1379的博客
10-15 6973
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
Hadoop集群搭建共10页.pdf.zip
10-29
【标题】:“Hadoop集群搭建共10页.pdf” 【描述】:该压缩包文件包含了一份详细的关于Hadoop集群搭建的教程,总计10页,可能是PDF格式的文档,提供了从基础到进阶的Hadoop集群配置和管理指导。 【标签】:...
基于伪分布式Hadoop集群搭建伪分布式HBASE集群
qq_44843672的博客
03-01 843
本文目的在于基于伪分布式Hadoop集群搭建伪分布式HBASE集群搭建伪分布式Hadoop集群环境教程为[基于百度智能云服务器搭建伪分布式Hadoop集群](https://blog.csdn.net/qq_44843672/article/details/114227663)
精选资源
hadoop集群搭建.rar
05-31
【标题】"hadoop集群搭建.rar"所涉及的知识点涵盖了大数据处理领域的重要组件和技术,包括Zookeeper(zk)、Hadoop、HBase、Hive以及Kylin,并提到了安全认证机制Kerberos。以下是对这些技术的详细解释: 1. **...
Kerberos
guowei的博客
11-04 2327
kerberos身份认证过程:     第一步:账号和KDC互相认证;     账号A向KDC证明自己的身份:         1.账号A首先会把自己的密码hash,得到一把秘钥Kclt;         2.Kclt会把当前的时间戳加密,生成一个字符串;使用{时间戳}Kclt来表示;         3.将生成的字符串{时间戳}Kclt、账号A的信息,以及一段随机数作为请求发送给KDC。    ...
Hadoop2.0+Kerberos配置
01-09
Hadoop安全认证机制,在hadoop集群中实现对服务器与服务器之间的安全保障
hadoop集群安装配置Kerberos(二):搭建kerberos基础环境(主从kdc)
changlina_1989的博客
12-21 7258
文章目录 文章目录 一、安装前需知 二、安装前准备 三、安装步骤 1.NTP时钟同步 2.目录设置 3.配置hosts 4.安装软件 5.主kdc节点创建realm 6.启动服务 7.从KDC节点安装 8.快速测试 一、安装前需知 1、我们安装的方案为kerberos5解决方案,所以我们所有的KDC 都能够处理 Kerberos 5 客户端,不考虑kerberos4兼容性。 2、在选择运行 Kerberos KDC 的部署平台时,真正需要...
Hadoop Kerberos 集成
hyunbar的博客
02-10 3389
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 106篇原创内容 ...
Hadoop安全Kerberos
S1124654的博客
01-30 4081
Hadoop安全Kerberos
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1796
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
原生apache hadoop3.3.1集群安装配置Kerberos
h952520296的博客
05-25 2198
安装kerberos可以看一下我另外一篇。下面直接开始配置hadoop部署好了kerberos之后,首先添加用户和生成认证文件在KDC中添加需要认证的用户具体用户看情况而定(hadoop集群主要由hdfs管理,所以除了建hdfs账户还有HTTP账户,另外还有hive、hbase、dwetl也会访问hadoop集群。如有别的用户可用这种方式另行添加,如下图:格式为:用户名/主机hostname@HADOOP.COM。
Hadoopkerberos的实践部署
kwame211的博客
12-06 1358
. Hadoop的认证机制 相关hadoop安全问题参考:大数据安全Hadoop安全模型的演进 hadoop安全认证主要涉及kerberos和HTTP SPNEGO, kerberos下面有介绍, HTTP SPNEGO 和kerberos 的介绍如下:Kerberos and SPNEGO 以及 SPNEGO 另外, 下面是一些早期网络上的有关使用SPNEGO文章,可以部
Hadoop Kerberos安全机制介绍
csr_hema的专栏
11-13 776
1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的,值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到hadoop集群上,恶意的提交作业,修改JobTracker状态,篡改HDFS上的数据,伪装成NameNode 或者TaskTracker接受任务等。 尽管在
基于bboss的Hadoop集群搭建与相关技术整合
“bboss-docs-hadoop集群搭建”这一标题明确指向一个关于使用 bboss 工具或框架进行 Hadoop 集群部署与配置的技术文档集合。从其描述内容反复强调“hadoop集群搭建”可以看出,该文档的核心主题是围绕如何构建、配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值