En esta página, se describe cómo Dataproc Metastore admite el protocolo Kerberos.
Kerberos es un protocolo de autenticación de red diseñado para proporcionar autenticación sólida para aplicaciones cliente y servidor mediante criptografía de clave secreta. Por lo general, se usa entre la pila de Hadoop para la autenticación en todo el ecosistema de software.
Puedes configurar Kerberos en los siguientes servicios de Dataproc Metastore:
- Un servicio de Dataproc Metastore que usa el protocolo de extremo de Thrift.
- Un servicio de Dataproc Metastore que usa el protocolo de extremo de gRPC
El proceso para configurar Kerberos es diferente para cada tipo de servicio.
Recursos obligatorios de Kerberos
En la siguiente sección, se proporciona información general sobre los recursos de Kerberos que necesitas para configurar Kerberos para un servicio de Dataproc Metastore.
KDC de Kerberos
Se requiere un KDC de Kerberos. Puedes usar el KDC local de un clúster de Managed Service para Apache Spark o crear y alojar el tuyo.
Principal de Kerberos
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo principal con un clúster de Managed Service para Apache Spark.
Archivo keytab
Un archivo keytab contiene pares de principales de Kerberos y claves encriptadas, que se usan para autenticar un principal de servicio con un KDC de Kerberos.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab con un clúster de Managed Service para Apache Spark.
El archivo keytab generado contiene el nombre y la ubicación de tu principal de servicio de almacén de metadatos de Hive.
El archivo keytab generado se almacena automáticamente en un Google Cloud Secret Manager.
El secreto de Secret Manager proporcionado debe fijarse en una versión específica del secreto. Debes especificar la versión del Secret que deseas usar. Dataproc Metastore no elige la última versión de forma automática.
Archivo krb5.conf
Un archivo krb5.conf válido contiene información de configuración de Kerberos, como la IP de KDC, el puerto y el nombre del dominio.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab con un clúster de Managed Service para Apache Spark.
- Cuando configures el archivo
krb5.conf, especifica la IP de KDC a la que se puede acceder desde tu red intercambiada. No especifiques el FQDN de KDC. - Si usas el extremo de Thrift, debes almacenar el archivo en un bucket de Cloud Storage. Puedes usar un bucket existente o crear uno nuevo.
¿Qué sigue?
- Crea un servicio de Dataproc Metastore que use el protocolo de extremo de Thrift.
- Crea un servicio de Dataproc Metastore que use el protocolo de extremo de gRPC.