随着hadoop集群里的数据量越来越大,各业务数据都集中了里面,自然要为各业务都要提供数据支持,又希望各业务数据是相对独立安全的,这最时候就需要做安全认证了

hadoop ha 测试集群部署规划
hadoop ha 各服务器角色如下:
 192.168.36.135 hadoopnn135.hadoop.com

192.168.36.137 hadoopsn137.hadoop.com

192.168.36.134 dn01134.hadoop.com

192.168.36.136 dn02136.hadoop.com

说明: 相关测试是在centos 6.3操作系统上完成的,hadoop 集群安装用的cdh5.2版本的源

 hadoopnn135.hadoop.com server端部署 krb5-server krb5-libs krb5-auth-dialog krb5-workstation

 hadoopsn137.hadoop.com,dn01134.hadoop.com,dn02136.hadoop.com client部署krb5-devel krb5-workstation
kerberos server 和 client端安装
server端安装

yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation   -y

client端安装

yum install krb5-devel krb5-workstation -y
hadoop ha和 kerberos ladp 配置整合
修改配置前,需先停止运行的hadoop ha集群里的相关服务
for i in /etc/init.d/hadoop-*; do $i stop; done

for i in /etc/init.d/impala*; do $i stop; done

for i in /etc/init.d/zookeeper-*; do $i stop; done

for i in /etc/init.d/hive-*; do $i stop; done

/root/cmd.sh "/etc/init.d/hadoop-hdfs-datanode stop"

/root/cmd.sh "/etc/init.d/hadoop-hdfs-zkfc stop"

/root/cmd.sh "/etc/init.d/hadoop-hdfs-journalnode stop"

/root/cmd.sh "/etc/init.d/zookeeper-server stop"

/root/cmd.sh "/etc/init.d/impala-server stop"

/root/cmd.sh "/etc/init.d/hadoop-yarn-resourcemanager stop"

/root/cmd.sh "/etc/init.d/hadoop-yarn-nodemanager stop"
在集群中所有节点的 core-site.xml 文件中添加下面的配置:
<property>

  <name>hadoop.security.authentication</name>

  <value>kerberos</value>

</property>

<property>

  <name>hadoop.security.authorization</name>

  <value>true</value>

</property>
在集群中所有节点的 hdfs-site.xml 文件中添加下面的配置:
<property>

  <name>dfs.block.access.token.enable</name>

  <value>true</value>

</property>

<property>

  <name>dfs.datanode.data.dir.perm</name>

  <value>700</value>

</property>

<property>

  <name>dfs.namenode.keytab.file</name>

  <value>/etc/hadoop/conf/hdfs.keytab</value>

</property>

<property>

  <name>dfs.namenode.kerberos.principal</name>

  <value>hdfs/_HOST@JAVACHEN.COM</value>

</property>

<property>

  <name>dfs.namenode.kerberos.https.principal</name>

  <value>HTTP/_HOST@JAVACHEN.COM</value>

</property>

<property>

  <name>dfs.datanode.address</name>

  <value>0.0.0.0:1004</value>

</property>

<property>

  <name>dfs.datanode.http.address</name>

  <value>0.0.0.0:1006</value>

</property>

<property>

  <name>dfs.datanode.keytab.file</name>

  <value>/etc/hadoop/conf/hdfs.keytab</value>

</property>

<property>

  <name>dfs.datanode.kerberos.principal</name>

  <value>hdfs/_HOST@JAVACHEN.COM</value>

</property>

<property>

  <name>dfs.datanode.kerberos.https.principal</name>

  <value>HTTP/_HOST@JAVACHEN.COM</value>

</property>
如果你像开启 SSL,请添加:
<property>

  <name>dfs.http.policy</name>

  <value>HTTPS_ONLY</value>

</property>
HDFS 配置了 QJM HA,则需要添加(另外,你还要在 zookeeper 上配置 kerberos):
<property>

  <name>dfs.journalnode.keytab.file</name>

  <value>/etc/hadoop/conf/hdfs.keytab</value>

</property>

<property>

  <name>dfs.journalnode.kerberos.principal</name>

  <value>hdfs/_HOST@JAVACHEN.COM</value>

</property>

<property>

  <name>dfs.journalnode.kerberos.internal.spnego.principal</name>

  <value>HTTP/_HOST@JAVACHEN.COM</value>

</property>
如果想配置 WebHDFS 启用授权验证,则添加:
<property>

  <name>dfs.webhdfs.enabled</name>

  <value>true</value>

</property>

<property>

  <name>dfs.web.authentication.kerberos.principal</name>

  <value>HTTP/_HOST@JAVACHEN.COM</value>

</property>

<property>

  <name>dfs.web.authentication.kerberos.keytab</name>

  <value>/etc/hadoop/conf/hdfs.keytab</value>

</property>
配置中有几点要注意的:
1. dfs.datanode.address表示 data transceiver RPC server 所绑定的 hostname 或 IP 地址,如果开启 security,端口号必须小于 1024(privileged port),否则的话启动 datanode 时候会报 Cannot start secure cluster without privileged resources 错误

2. principal 中的 instance 部分可以使用 _HOST 标记,系统会自动替换它为全称域名

3. 如果开启了 security, hadoop 会对 hdfs block data(由 dfs.data.dir 指定)做 permission check,方式用户的代码不是调用hdfs api而是直接本地读block data,这样就绕过了kerberos和文件权限验证,管理员可以通过设置 dfs.datanode.data.dir.perm 来修改 datanode 文件权限,这里我们设置为700
datanode启动失败
报错如下:

 Cannot start secure DataNode without configuring either privileged resources

 解决办法 参考了http://www.tuicool.com/articles/RRbIv2

 下载jsvc安装包 wget http://www.apache.org/dist/commons/daemon/source/commons-daemon-1.0.15-src.tar.gz

 

 tar zxvf commons-daemon-1.0.15-src.tar.gz; cd

  

kerberos+ladp+hadoop-ha 安全认证部署配置的更多相关文章

  1. hadoop HA架构安装部署(QJM HA)

    ###################HDFS High Availability Using the Quorum Journal Manager########################## ...

  2. Spark 在Hadoop HA下配置HistoryServer问题

    我的Spark机群是部署在Yarn上的,因为之前Yarn的部署只是简单的完全分布式,但是后来升级到HA模式,一个主NN,一个备NN,那么Spark HistoryServer的配置也需要相应的做修改, ...

  3. hadoop3.1 ha高可用部署

    1.资源角色规划

  4. Hadoop(HA)分布式集群部署

    Hadoop(HA)分布式集群部署和单节点namenode部署其实一样,只是配置文件的不同罢了. 这篇就讲解hadoop双namenode的部署,实现高可用. 系统环境: OS: CentOS 6.8 ...

  5. zookeeper集群的搭建以及hadoop ha的相关配置

    1.环境 centos7 hadoop2.6.5 zookeeper3.4.9 jdk1.8 master作为active主机,data1作为standby备用机,三台机器均作为数据节点,yarn资源 ...

  6. hadoop HA 配置 + zookeeper 服务注册

    环境测试 6台机器 centos6.7 x64 master ( namenode/cluster ) 10.10.100.101 namenode1 10.10.100.105 namenode2 ...

  7. Hadoop分布式HA的安装部署

    Hadoop分布式HA的安装部署 前言 单机版的Hadoop环境只有一个namenode,一般namenode出现问题,整个系统也就无法使用,所以高可用主要指的是namenode的高可用,即存在两个n ...

  8. hadoop 2.x HA(QJM)安装部署规划

    一.主机服务规划: db01                                             db02                                      ...

  9. hadoop HA+kerberos HA集群搭建

    IP.主机名规划 hadoop集群规划: hostname IP hadoop 备注 hadoop1 110.185.225.158 NameNode,ResourceManager,DFSZKFai ...

随机推荐

  1. Microsoft Visual C++ Runtime error解决方法

    1: 当出现下图时提示Microsoft Visual C++ Runtime error 2:此时不要关闭该对话框,然后打开任务管理器(Ctrl+Shift+Esc)如下图: 找到Microsoft ...

  2. 修改后的SQL分页存储过程,利用2分法,支持排序

    /****** Object: StoredProcedure [dbo].[sys_Page_v3] Script Date: 08/13/2014 09:32:28 ******/ SET ANS ...

  3. MVC MVVM Knockout 常遇问题总结

    1.模板绑定(使用插件jquery.tmpl) var ViewModel={Product:ko.observable()} <div data-bind="template:{na ...

  4. Learning Scrapy笔记(七)- Scrapy根据Excel文件运行多个爬虫

    摘要:根据Excel文件配置运行多个爬虫 很多时候,我们都需要为每一个单独的网站编写一个爬虫,但有一些情况是你要爬取的几个网站的唯一不同之处在于Xpath表达式不同,此时要分别为每一个网站编写一个爬虫 ...

  5. 排序 选择排序&&堆排序

    选择排序&&堆排序 1.选择排序: 介绍:选择排序(Selection sort)是一种简单直观的排序算法.它的工作原理如下.首先在未排序序列中找到最小(大)元素,存放到排序序列的起始 ...

  6. Oracle Rac crs无法启动

    OS:ORACLE LINUX 5.7 DB:11.2.0.3 RAC:YES 故障:1.两节点RAC,节点分别为linuxdb1.linuxdb2,其中节点linuxdb2服务器出现故障,无法启动2 ...

  7. Windows Phone中Wallet钱包的使用

    前言 Windows Phone 8中加入了钱包Wallet这个功能,这个功能非常的有意思,开发者可以通过Wallet提供的API创建获取Wallet中的商品.统一管理用户的收集优惠券.信用卡.成员资 ...

  8. qu

    离骚 (3481人评分) 8.5   朝代:先秦 作者:屈原 原文: 帝高阳之苗裔兮,朕皇考曰伯庸.摄提贞于孟陬兮,惟庚寅吾以降.皇览揆余初度兮,肇锡余以嘉名:名余曰正则兮,字余曰灵均.纷吾既有此内美 ...

  9. js贪吃蛇

    function init() { w = 40; m = 20; d = w * m / 2; food = null; dm = new ht.DataModel(); g3d = new ht. ...

  10. iOS学习之Object-C语言内存管理

    一.内存管理的方式      1.iOS应用程序出现Crash(闪退),90%的原因是因为内存问题.      2.内存问题:      1)野指针异常:访问没有所有权的内存,如果想要安全的访问,必须 ...