En esta página se describe cómo admite Dataproc Metastore el protocolo Kerberos.
Kerberos es un protocolo de autenticación de red diseñado para proporcionar una autenticación segura a las aplicaciones cliente y servidor mediante la criptografía de clave secreta. Se usa habitualmente en la pila de Hadoop para la autenticación en todo el ecosistema de software.
Puedes configurar Kerberos en los siguientes servicios de Dataproc Metastore:
- Un servicio de Dataproc Metastore que usa el protocolo de endpoint Thrift.
- Un servicio de Dataproc Metastore que usa el protocolo de endpoint gRPC.
El proceso para configurar Kerberos es diferente para cada tipo de servicio.
Recursos de Kerberos necesarios
En la siguiente sección se proporciona información general sobre los recursos de Kerberos que necesitas para configurar Kerberos en un servicio Dataproc Metastore.
KDC de Kerberos
Se necesita un KDC de Kerberos. Puedes usar el KDC local de un clúster de Dataproc o crear y alojar el tuyo.
Principal de Kerberos
Cuando configuras Kerberos en un servicio de Dataproc Metastore, generas el archivo principal mediante un clúster de Dataproc.
Archivo Keytab
Un archivo keytab contiene pares de principales de Kerberos y claves encriptadas, que se usan para autenticar un principal de servicio con un KDC de Kerberos.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas el archivo keytab mediante un clúster de Dataproc.
El archivo keytab generado contiene el nombre y la ubicación de tu principal de servicio de metastore de Hive.
El archivo keytab generado se almacena automáticamente en un Google Cloud Secret Manager.
El secreto de Secret Manager proporcionado debe estar fijado a una versión de secreto específica. Debe especificar la versión del secreto que quiere usar, ya que Dataproc Metastore no elige automáticamente la versión más reciente.
Archivo krb5.conf
Un archivo krb5.conf válido contiene información de configuración de Kerberos, como la IP, el puerto y el nombre del dominio de KDC.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas el archivo keytab mediante un clúster de Dataproc.
- Al configurar el archivo
krb5.conf, especifica la IP del KDC a la que se pueda acceder desde tu red emparejada. No especifiques el FQDN del KDC. - Si utilizas el endpoint de Thrift, debes almacenar el archivo en un segmento de Cloud Storage. Puedes usar un contenedor que ya tengas o crear uno.
Siguientes pasos
- Crea un Dataproc Metastore que use el protocolo de endpoint Thrift.
- Crea un almacén de metadatos de Dataproc que utilice el protocolo de endpoint gRPC.