作者：楼高建议将dophinscheduler集成到Ambari安装部署，在Ambari上面开启kerberos。

因为Kerberos认证过程及集群服务中，很多是以主机名的形式进行访问的，所以工作机要设置hosts. 域名映射，我们通过部署CDH的集群的每一台机器都已经配置了host(文件为/etc/hosts)，工作机也需要配置window的host文件，如果提示无法修改，一般是需要管理员权限的原因，比较简单的方式是先将文件移出来，修改完成之后再放进去。下载完成后，解压得到里面的HiveJDBC41.jar 这个驱动包，这个包里面包含了完整的依赖，然后进入DBeaver的驱动设置界面。更多技术信息请查看云掣官网。

作者：楼高。

作者：楼高前面第七章详细介绍了部署FreeIPA来做kerberos认证，这节接着介绍FreeIPA高可用部署。

Kerberos协议只是一种协议标准的框架，而MIT Kerberos则是实现了该协议的认证服务，是Kerberos的物理载体。将它与Hadoop服务进行集成便能够很好地解决安全性不足的问题。除了需要安装MIT Kerberos之外，我们还需要安装LDAP。在生产环境中Knox使用附带的LDAP服务显然是不合适的，因此需要一种更为正式的安装方式。Kerberos和LDAP服务这类基础设施服务虽好，但是手动安装起来非常繁琐，接下来用一种全新的方法，通过使用FreeAPI来安装上述的基础设施组件。

Apache Ranger是一款被设计成全面掌管Hadoop生态系统的数据安全管理框架，为Hadoop生态系统众多组件提供一个统一的数据授权和管理界面，管理员只需要对接一个Ranger管理系统，就可以对整个Hadoop生态系统进行数据管理，数据授权和审计。

本章节介绍安全架构里面一个重要组件Knox安装，我们是通过ambari安装，如果安装开源Knox可参考官网文档。

作者：楼高Ranger是支持审计功能的，安装时可以选择审计数据保存的位置，默认支持Solr和HDFS。

完成上面步骤之后如果修改了 repo 文件的主机名，那么需要验证一下或者直接通过 ambari 界面向导来安装某服务测试一下，或者直接在 shell 里面执行，yum install xxx，安装个东西测试一下，测试是否可以正常安装组件。hdp:是 ambari 创建 hdp 的集群名，可通过在Ambari页面的右上角admin用户下拉框的Manage Ambari进去，查看Cluster Information。停止 ambari-server 进程和所有节点上的 ambari-agent 进程。

作者：楼高。

作者：楼高。