Funktionsweise von Kerberos mit Dataproc Metastore

Auf dieser Seite wird beschrieben, wie Dataproc Metastore das Kerberos-Protokoll unterstützt.

Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das für eine starke Authentifizierung für Client- und Serveranwendungen unter Verwendung der Secret-Schlüssel-Kryptografie vorgesehen ist. Es wird häufig für die Authentifizierung in der gesamten Softwareumgebung verwendet.

Sie können Kerberos für die folgenden Dataproc Metastore-Dienste konfigurieren:

• Ein Dataproc Metastore-Dienst, der das Thrift-Endpunktprotokoll verwendet.
• Ein Dataproc Metastore-Dienst, der das gRPC-Endpunktprotokoll verwendet.

Die Konfiguration von Kerberos unterscheidet sich je nach Diensttyp.

Erforderliche Kerberos-Assets

Im folgenden Abschnitt finden Sie allgemeine Informationen zu den Kerberos-Assets, die Sie zum Konfigurieren von Kerberos für einen Dataproc Metastore-Dienst benötigen.

Kerberos-KDC

Ein Kerberos-KDC ist erforderlich. Sie können den lokalen KDC eines Dataproc-Clusters verwenden oder einen eigenen erstellen und hosten.

Kerberos-Principal

Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Hauptkontodatei mit einem Dataproc-Cluster.

Keytab-Datei

Eine Keytab-Datei enthält Paare aus Kerberos-Hauptkonten und verschlüsselten Schlüsseln, die zur Authentifizierung eines Diensthauptkontos bei einem Kerberos-KDC verwendet werden.

Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Keytab-Datei mit einem Dataproc-Cluster.

• Die generierte Keytab-Datei enthält den Namen und den Speicherort des Hive-Metastore-Dienst-Principals.

• Die generierte Keytab-Datei wird automatisch in einem Google Cloud-Secret Manager gespeichert.

  Das bereitgestellte Secret Manager-Secret muss an eine bestimmte Secret-Version angepinnt sein. Sie müssen die Secret-Version angeben, die Sie verwenden möchten. Dataproc Metastore wählt nicht automatisch die neueste Version aus.

krb5.conf-Datei

Eine gültige krb5.conf-Datei enthält Kerberos-Konfigurationsinformationen wie die KDC-IP, den Port und den Bereichsnamen.

Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Keytab-Datei mit einem Dataproc-Cluster.

• Geben Sie beim Konfigurieren der krb5.conf-Datei die KDC-IP an, die über Ihr Peering-Netzwerk erreichbar ist. Geben Sie den KDC-FQDN nicht an.
• Wenn Sie den Thrift-Endpunkt verwenden, müssen Sie die Datei in einem Cloud Storage-Bucket speichern. Sie können einen vorhandenen Bucket verwenden oder einen neuen erstellen.

Nächste Schritte

• Erstellen Sie einen Dataproc Metastore, der das Thrift-Endpunktprotokoll verwendet.
• Erstellen Sie einen Dataproc Metastore, der das gRPC-Endpunktprotokoll verwendet.