Questa pagina descrive in che modo Dataproc Metastore supporta il protocollo Kerberos.
Kerberos è un protocollo di autenticazione di rete progettato per fornire un'autenticazione avanzata per le applicazioni client e server utilizzando la crittografia con chiave segreta. Viene spesso utilizzato nello stack Hadoop per l'autenticazione nell'intero ecosistema software.
Puoi configurare Kerberos sui seguenti servizi Dataproc Metastore:
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.
La procedura di configurazione di Kerberos è diversa per ogni tipo di servizio.
Asset Kerberos obbligatori
La sezione seguente fornisce informazioni generali sugli asset Kerberos necessari per configurare Kerberos per un servizio Dataproc Metastore.
KDC Kerberos
È necessario un KDC Kerberos. Puoi utilizzare il KDC locale di un cluster Dataproc o crearne e ospitarne uno tuo.
Entità Kerberos
Quando configuri Kerberos per un servizio Dataproc Metastore, genera il file principale utilizzando un cluster Dataproc.
File keytab
Un file keytab contiene coppie di entità Kerberos e chiavi criptate, che vengono utilizzate per autenticare un'entità di servizio con un KDC Kerberos.
Quando configuri Kerberos per un servizio Dataproc Metastore, devi generare il file keytab utilizzando un cluster Dataproc.
Il file keytab generato contiene il nome e la posizione dell'entità servizio metastore Hive.
Il file keytab generato viene archiviato automaticamente in un Gestore di segreti Google Cloud.
Il secret di Secret Manager fornito deve essere bloccato a una versione del secret specifica. Devi specificare la versione del segreto che vuoi utilizzare, poiché Dataproc Metastore non sceglie automaticamente la versione più recente.
File krb5.conf
Un file krb5.conf valido contiene informazioni di configurazione di Kerberos, ad esempio l'IP, la porta e il nome del realm del KDC.
Quando configuri Kerberos per un servizio Dataproc Metastore, devi generare il file keytab utilizzando un cluster Dataproc.
- Quando configuri il file
krb5.conf, specifica l'IP del KDC accessibile dalla tua rete peer. Non specificare il FQDN del KDC. - Se utilizzi l'endpoint Thrift, devi archiviare il file in un bucket Cloud Storage. Puoi utilizzare un bucket esistente o crearne uno nuovo.
Passaggi successivi
- Crea un Dataproc Metastore che utilizzi il protocollo dell'endpoint Thrift.
- Crea un Dataproc Metastore che utilizzi il protocollo dell'endpoint gRPC.