בדף הזה מוסבר איך Dataproc Metastore תומך בפרוטוקול Kerberos.
Kerberos הוא פרוטוקול אימות ברשת שנועד לספק אימות חזק לאפליקציות לקוח ושרת באמצעות קריפטוגרפיה במפתח סודי. הוא נפוץ בסטאק של Hadoop לצורך אימות בכל האקוסיסטם של התוכנה.
אפשר להגדיר Kerberos בשירותי Dataproc Metastore הבאים:
- שירות Dataproc Metastore שמשתמש בפרוטוקול של נקודת הקצה Thrift.
- שירות Dataproc Metastore שמשתמש בפרוטוקול נקודת הקצה gRPC.
תהליך ההגדרה של Kerberos שונה לכל סוג שירות.
נכסי Kerberos נדרשים
בקטע הבא מפורט מידע כללי על נכסי Kerberos שצריך להגדיר כדי להשתמש ב-Kerberos בשירות Dataproc Metastore.
Kerberos KDC
נדרש Kerberos KDC. אפשר להשתמש ב-KDC המקומי של אשכול Dataproc או ליצור KDC משלכם ולארח אותו.
חשבון משתמש ב-Kerberos
כשמגדירים Kerberos לשירות Dataproc Metastore, יוצרים את קובץ ה-principal באמצעות אשכול Dataproc.
קובץ Keytab
קובץ keytab מכיל זוגות של חשבונות משתמשים ב-Kerberos ומפתחות מוצפנים, שמשמשים לאימות של חשבון משתמש של שירות באמצעות שרת KDC של Kerberos.
כשמגדירים את Kerberos לשירות Dataproc Metastore, יוצרים את קובץ ה-keytab באמצעות אשכול Dataproc.
קובץ ה-keytab שנוצר מכיל את השם והמיקום של שירות ה-principal של Hive metastore.
קובץ ה-keytab שנוצר נשמר באופן אוטומטי ב-Google Cloud Secret Manager.
הסוד שסופק ב-Secret Manager צריך להיות מוצמד לגרסה ספציפית של הסוד. צריך לציין את גרסת הסוד שרוצים להשתמש בה, כי Dataproc Metastore לא בוחר את הגרסה האחרונה באופן אוטומטי.
קובץ krb5.conf
קובץ krb5.conf תקין מכיל פרטי הגדרות של Kerberos, כמו כתובת ה-IP, היציאה ושם התחום של KDC.
כשמגדירים את Kerberos לשירות Dataproc Metastore, יוצרים את קובץ ה-keytab באמצעות אשכול Dataproc.
- כשמגדירים את קובץ
krb5.conf, מציינים את כתובת ה-IP של KDC שאפשר לגשת אליה מהרשת המקבילה. אל תציינו את ה-FQDN של KDC. - אם אתם משתמשים בנקודת הקצה של Thrift, אתם צריכים לאחסן את הקובץ בקטגוריה של Cloud Storage. אפשר להשתמש בדלי קיים או ליצור דלי חדש.
המאמרים הבאים
- יוצרים Dataproc Metastore שמשתמש בפרוטוקול של נקודת קצה Thrift.
- יוצרים Dataproc Metastore שמשתמש בפרוטוקול של נקודת קצה ב-gRPC.