本页面介绍了 Dataproc Metastore 如何支持 Kerberos 协议。
Kerberos 是一种网络 身份验证协议,旨在通过使用 Secret 密钥加密为 客户端和服务器应用提供强身份验证。它通常用于整个软件生态系统中的身份验证 Hadoop 堆栈。
您可以在以下 Dataproc Metastore 服务上配置 Kerberos:
- 使用 Thrift 端点 协议的 Dataproc Metastore 服务。
- 使用 gRPC 端点 协议的 Dataproc Metastore 服务。
每种类型的服务的 Kerberos 配置流程都不同。
必需的 Kerberos 资产
以下部分提供了有关为 Dataproc Metastore 服务配置 Kerberos 所需的 Kerberos 资产的一般信息。
Kerberos KDC
您需要一个 Kerberos KDC。 您可以使用 Managed Service for Apache Spark 集群的本地 KDC,也可以创建并托管自己的 KDC。
Kerberos 正文
为 Dataproc Metastore 服务配置 Kerberos 时,您可以使用 Managed Service for Apache Spark 集群生成正文文件。
Keytab 文件
keytab 文件包含 Kerberos 正文和加密密钥对,用于通过 Kerberos KDC 对服务正文进行身份验证。
为 Dataproc Metastore 服务配置 Kerberos 时,您可以使用 Managed Service for Apache Spark 集群生成 keytab 文件。
生成的 keytab 文件包含 Hive Metastore 服务正文的名称和位置。
生成的 keytab 文件会自动存储在 Google Cloud Secret Manager 中。
提供的 Secret Manager Secret 必须固定到特定的 Secret 版本。您需要指定要使用的 Secret 版本,Dataproc Metastore 不会自动选择最新版本。
krb5.conf 文件
有效的 krb5.conf 文件包含 Kerberos 配置信息,例如 KDC IP、端口和大区名称。
为 Dataproc Metastore 服务配置 Kerberos 时,您可以使用 Managed Service for Apache Spark 集群生成 keytab 文件。
- 配置
krb5.conf文件时,请指定可从对等互连的网络访问的 KDC IP。请勿指定 KDC FQDN。 - 如果您使用的是 Thrift 端点,则必须将该文件存储在 Cloud Storage 存储桶中。您可以使用现有存储桶,也可以创建新存储桶。
后续步骤
- 创建使用 Thrift 端点 协议的 Dataproc Metastore 服务。
- 创建使用 gRPC 端点 协议的 Dataproc Metastore 服务。