Cara kerja Kerberos dengan Dataproc Metastore

Halaman ini menjelaskan cara Dataproc Metastore mendukung protokol Kerberos.

Kerberos adalah protokol autentikasi jaringan yang dirancang untuk memberikan autentikasi yang kuat bagi aplikasi klien dan server dengan menggunakan kriptografi kunci rahasia. Kerberos umumnya digunakan di seluruh stack Hadoop untuk autentikasi di seluruh ekosistem software.

Anda dapat mengonfigurasi Kerberos di layanan Dataproc Metastore berikut:

• Layanan Dataproc Metastore yang menggunakan protokol endpoint Thrift.
• Layanan Dataproc Metastore yang menggunakan protokol endpoint gRPC.

Proses untuk mengonfigurasi Kerberos berbeda untuk setiap jenis layanan.

Aset Kerberos yang diperlukan

Bagian berikut memberikan informasi umum tentang aset Kerberos yang Anda perlukan untuk mengonfigurasi Kerberos untuk layanan Dataproc Metastore.

KDC Kerberos

Kerberos KDC diperlukan. Anda dapat menggunakan KDC lokal cluster Dataproc atau membuat dan menghosting KDC Anda sendiri.

Principal Kerberos

Saat mengonfigurasi Kerberos untuk layanan Dataproc Metastore, Anda membuat file utama menggunakan cluster Dataproc.

File keytab

File keytab berisi pasangan akun utama Kerberos dan kunci terenkripsi, yang digunakan untuk mengautentikasi akun utama layanan dengan KDC Kerberos.

Saat mengonfigurasi Kerberos untuk layanan Dataproc Metastore, Anda membuat file keytab menggunakan cluster Dataproc.

• File keytab yang dihasilkan berisi nama dan lokasi akun utama layanan metastore Hive Anda.

• File keytab yang dibuat akan otomatis disimpan di Google Cloud Secret Manager.

  Secret Manager secret yang diberikan harus disematkan ke versi secret tertentu. Anda perlu menentukan versi secret yang ingin digunakan, Dataproc Metastore tidak memilih versi terbaru secara otomatis.

file krb5.conf

File krb5.conf yang valid berisi informasi konfigurasi Kerberos, seperti IP KDC, port, dan nama realm.

Saat mengonfigurasi Kerberos untuk layanan Dataproc Metastore, Anda membuat file keytab menggunakan cluster Dataproc.

• Saat mengonfigurasi file krb5.conf, tentukan IP KDC yang dapat diakses dari jaringan yang di-peering. Jangan tentukan FQDN KDC.
• Jika menggunakan endpoint Thrift, Anda harus menyimpan file di bucket Cloud Storage. Anda dapat menggunakan bucket yang ada atau membuat bucket baru.

Langkah berikutnya

• Buat Dataproc Metastore yang menggunakan protokol endpoint Thrift.
• Buat Dataproc Metastore yang menggunakan protokol endpoint gRPC.