Questa pagina descrive in che modo Dataproc Metastore supporta il protocollo Kerberos.
Kerberos è un protocollo di autenticazione di rete progettato per fornire un'autenticazione efficace per le applicazioni client e server utilizzando la crittografia con chiave segreta. Viene comunemente utilizzato nello stack Hadoop per l'autenticazione in tutto l'ecosistema software.
Puoi configurare Kerberos sui seguenti servizi Dataproc Metastore:
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.
La procedura di configurazione di Kerberos è diversa per ogni tipo di servizio.
Asset Kerberos richiesti
La sezione seguente fornisce informazioni generali sugli asset Kerberos che devi configurare per un servizio Dataproc Metastore.
Kerberos KDC
È necessario un KDC Kerberos. Puoi utilizzare il KDC locale di un cluster Dataproc o crearne e ospitarne uno tuo.
Entità Kerberos
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file principale utilizzando un cluster Dataproc.
File keytab
Un file keytab contiene coppie di entità Kerberos e chiavi criptate, che vengono utilizzate per autenticare un'entità di servizio con un KDC Kerberos.
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file keytab utilizzando un cluster Dataproc.
Il file keytab generato contiene il nome e la posizione dell'entità servizio Hive Metastore.
Il file keytab generato viene archiviato automaticamente in un Google Cloud Secret Manager.
Il secret Secret Manager fornito deve essere bloccato a una versione specifica del secret. Devi specificare la versione del secret che vuoi utilizzare. Dataproc Metastore non sceglie automaticamente l'ultima versione.
File krb5.conf
Un file krb5.conf valido contiene informazioni di configurazione di Kerberos, ad esempio
l'IP, la porta e il nome del realm del KDC.
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file keytab utilizzando un cluster Dataproc.
- Quando configuri il file
krb5.conf, specifica l'IP del KDC accessibile dalla rete peer. Non specificare il nome di dominio completo del KDC. - Se utilizzi l'endpoint Thrift, devi archiviare il file in un bucket Cloud Storage. Puoi utilizzare un bucket esistente o crearne uno nuovo.
Passaggi successivi
- Crea un Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Crea un Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.