Phoenix连接安全模式下的HBase集群

Phoenix连接安全模式下的HBase集群

HBase集群开启安全模式(即启用kerberos认证)之后，用户无论是用HBase shell还是Phoenix去连接HBase都先需要通过kerberos认证。如果没有通过kerberos认证，则hbase shell或phoenix都会报找不到kerberos tgt的错误而无法访问HBase(以下以phoenix为例):

 

对于HBase shell来说，用户可以在命令行先用kinit命令(kinit -kt <user keytab> <user principal>)进行认证获取tgt，然后再进入hbase shell中去建表或者跑查询。而Phoenix因为没有像hbase shell这样一开始就支持kerberos认证，所以Phoenix高低版本之间对HBase的kerberos认证的支持有所差别：

- 3.0及以上版本的Phoenix原生支持连接安全模式的hbase集群

- 3.0以下版本的Phoenix默认不支持连接安全模式的hbase集群

以下分别介绍不同Phoenix版本连接安全模式下HBase集群的方法。

Phoenix 3.0及以上版本连接安全模式下的HBase集群

Phoenix从3.0版本开始增加了连接安全模式下的HBase集群的支持，连接安全模式的HBase集群的JDBC URL格式如下：

jdbc:phoenix:<quorom>:<port>:[zk_rootNode]:<principal>:<keytab>

(参数里的quorom是zookeeper节点列表，port是zookeeper的端口，zk_rootNode是HBase的zookeeper目录，principal为hbase用户的principal，keytab为hbase用户的keytab文件路径)

用户可以用上述JDBC连接串，通过sqlline命令，java代码或sql连接器去访问开启了安全模式的HBase集群(通过上述JDBC连接串去访问HBase之前，不需要手动去执行kinit命令来获取tgt)。其使用示例如下：

（测试以HDP 2.6为准<HBase1.2.2，phoenix4.>，CDH或Apache社区版本的HBase的配置也类似）

 

另外，我们发现如果用kinit命令去手动获取tgt之后，依然可以通过非kerberos模式下的JDBC连接串(即jdbc:phoenix:<quorom>:<port>:[zk_rootNode] 格式的连)访问HBase集群，因为当前命令执行的上下文里以及有了kerberos tgt的缓存信息：

 

Phoenix 3.0以下版本连接安全模式下的HBase集群

对于3.0之前的版本，Phoenix默认是不支持连接安全模式下的HBase集群的。但是，我们可以通过修改phoenix的sqlline脚本并增加一些java参数来使phoenix能够连接开启kerberos的HBase集群(只需要增加一些参数，而不必修改phoenix代码本身)。

需要在sqlline里增加的java参数如下：

- zookeeper的jaas文件路径

- krb5.conf文件路径

- 集群配置文件和jar包的路径，包括：

- hadoop的配置文件路径

- hbase的配置文件路径

- hbase jar包的路径

- zookeeper jar包的路径

- hadoop auth jar包的路径

- phoenix-x.x.x.jar的路径

sqlline脚本最终执行的java命令类似下面：
java -Djava.security.auth.login.config=/etc/zookeeper/conf/zookeeper_client_jaas.conf -Djava.security.krb5.conf=/etc/krb5.conf -cp "/etc/hbase/conf:/usr/hdp/2.4.0.0-169/zookeeper/zookeeper-3.4.6.2.4.0.0-169.jar:/usr/hdp/2.4.0.0-169/hadoop/hadoop-auth-2.7.1.2.4.0.0-169.jar:/usr/hdp/2.4.0.0-169/phoenix/bin/../phoenix-4.4.0.2.4.0.0-169-client.jar:::/etc/hadoop/conf:/usr/hdp/2.4.0.0-169/hadoop/conf:/usr/hdp/2.4.0.0-169/hadoop/lib/*:/usr/hdp/2.4.0.0-169/hadoop/.//*:/usr/hdp/2.4.0.0-169/hadoop-hdfs/./:/usr/hdp/2.4.0.0-169/hadoop-hdfs/lib/*:/usr/hdp/2.4.0.0-169/hadoop-hdfs/.//*:/usr/hdp/2.4.0.0-169/hadoop-yarn/lib/*:/usr/hdp/2.4.0.0-169/hadoop-yarn/.//*:/usr/hdp/2.4.0.0-169/hadoop-mapreduce/lib/*:/usr/hdp/2.4.0.0-169/hadoop-mapreduce/.//*::mysql-connector-java-5.1.17.jar:mysql-connector-java.jar:postgresql-9.3-1101-jdbc4.jar:postgresql.jar:/usr/hdp/2.4.0.0-169/tez/*:/usr/hdp/2.4.0.0-169/tez/lib/*:/usr/hdp/2.4.0.0-169/tez/conf" -Dlog4j.configuration=file:/usr/hdp/2.4.0.0-169/phoenix/bin/log4j.propertiessqlline.SqlLine -d org.apache.phoenix.jdbc.PhoenixDriver -u jdbc:phoenix:ocdpbroker.jcloud.local:2181:/hbase-secure:hbase/ocdpbroker.jcloud.local@ASIAINFO.COM:/etc/security/keytabs/hbase.service.keytab -n none -p none —color=true —fastConnect=false —verbose=true —isolation=TRANSACTION_READ_COMMITTED

总结一下，需要首先在命令行用kinit命令手动获取tgt，然后再执行上述的java命令就可以访问开启kerberos认证的HBase集群了。