Cara kerja Kerberos dengan Dataproc Metastore

Halaman ini menjelaskan cara Dataproc Metastore mendukung protokol Kerberos.

Kerberos adalah protokol autentikasi jaringan yang dirancang untuk memberikan autentikasi yang kuat bagi aplikasi klien dan server menggunakan kriptografi kunci rahasia. Solusi ini biasanya digunakan di antara stack Hadoop untuk autentikasi di seluruh ekosistem software.

Anda dapat mengonfigurasi Kerberos pada layanan Dataproc Metastore berikut:

• Layanan Dataproc Metastore yang menggunakan protokol endpoint Thrift.
• Layanan Dataproc Metastore yang menggunakan protokol endpoint gRPC.

Proses untuk mengonfigurasi Kerberos berbeda untuk setiap jenis layanan.

Aset Kerberos yang diperlukan

Bagian berikut memberikan informasi umum tentang aset Kerberos yang Anda perlukan untuk mengonfigurasi Kerberos untuk layanan Dataproc Metastore.

KDC Kerberos

Kerberos KDC wajib diisi. Anda dapat menggunakan KDC lokal dari cluster Dataproc atau membuat dan menghosting cluster Anda sendiri.

Akun utama Kerberos

Saat mengonfigurasi Kerberos untuk layanan Dataproc Metastore, Anda harus membuat file utama menggunakan cluster Dataproc.

File keytab

File keytab berisi pasangan akun utama Kerberos dan kunci terenkripsi, yang digunakan untuk mengautentikasi akun utama layanan dengan KDC Kerberos.

Saat mengonfigurasi Kerberos untuk layanan Dataproc Metastore, Anda membuat file keytab menggunakan cluster Dataproc.

• File keytab yang dihasilkan berisi nama dan lokasi utama layanan metastore Hive Anda.

• File keytab yang dihasilkan akan otomatis disimpan di Secret Manager Google Cloud.

  Rahasia Secret Manager yang diberikan harus disematkan ke versi secret tertentu. Anda harus menentukan versi rahasia yang ingin digunakan, Dataproc Metastore tidak memilih versi terbaru secara otomatis.

File krb5.conf

File krb5.conf yang valid berisi informasi konfigurasi Kerberos, seperti IP KDC, port, dan nama realm.

Saat mengonfigurasi Kerberos untuk layanan Dataproc Metastore, Anda membuat file keytab menggunakan cluster Dataproc.

• Saat mengonfigurasi file krb5.conf, tentukan IP KDC yang dapat diakses dari jaringan yang di-peering. Jangan tentukan KDC FQDN.
• Jika menggunakan endpoint Thrift, Anda harus menyimpan file di bucket Cloud Storage. Anda dapat menggunakan bucket yang sudah ada atau membuat yang baru.

Langkah selanjutnya

• Buat Dataproc Metastore yang menggunakan protokol endpoint Thrift.
• Buat Dataproc Metastore yang menggunakan protokol endpoint gRPC.