Cette page a été traduite par l'API Cloud Translation.

Fonctionnement de Kerberos avec Dataproc Metastore

Cette page explique comment Dataproc Metastore est compatible avec le protocole Kerberos.

Kerberos est un protocole d'authentification réseau conçu pour fournir une authentification forte aux applications client et serveur grâce à la cryptographie à clé secrète. Il est couramment utilisé dans la pile Hadoop pour l'authentification sur l'ensemble de l'écosystème logiciel.

Vous pouvez configurer Kerberos sur les services Dataproc Metastore suivants:

Un service Dataproc Metastore qui utilise le protocole de point de terminaison Thrift.
Un service Dataproc Metastore qui utilise le protocole du point de terminaison gRPC.

La procédure de configuration de Kerberos est différente pour chaque type de service.

Composants Kerberos requis

La section suivante fournit des informations générales sur les éléments Kerberos dont vous avez besoin pour configurer Kerberos pour un service Dataproc Metastore.

KDC Kerberos

Un KDC Kerberos est requis. Vous pouvez utiliser le KDC local d'un cluster Dataproc ou créer et héberger le vôtre.

Principal Kerberos

Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez votre fichier principal à l'aide d'un cluster Dataproc.

Fichier Keytab

Un fichier keytab contient des paires de principaux Kerberos et de clés chiffrées, qui permettent d'authentifier un compte principal de service à l'aide d'un KDC Kerberos.

Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez votre fichier keytab à l'aide d'un cluster Dataproc.

Le fichier keytab généré contient le nom et l'emplacement de votre compte de service principal de métastore Hive.
Le fichier keytab généré est automatiquement stocké dans un Google Cloud Secret Manager.

Le secret fourni par Secret Manager doit être épinglé à une version spécifique du secret. Vous devez spécifier la version du secret que vous souhaitez utiliser. Dataproc Metastore ne sélectionne pas automatiquement la dernière version.

Fichier krb5.conf

Un fichier krb5.conf valide contient des informations de configuration Kerberos, telles que l'adresse IP KDC, le port et le nom de domaine.

Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez votre fichier keytab à l'aide d'un cluster Dataproc.

Lorsque vous configurez le fichier krb5.conf, spécifiez l'adresse IP du KDC accessible depuis votre réseau associé. Ne spécifiez pas le nom de domaine complet du KDC.
Si vous utilisez le point de terminaison Thrift, vous devez stocker le fichier dans un bucket Cloud Storage. Vous pouvez utiliser un bucket existant ou en créer un.

Étape suivante

Créez un métastore Dataproc qui utilise le protocole de point de terminaison Thrift.
Créez un métastore Dataproc qui utilise le protocole du point de terminaison gRPC.