Kerberos と Dataproc Metastore の連携の仕組み

このページでは、Dataproc Metastore が Kerberos プロトコルをサポートする方法について説明します。

Kerberos は、秘密鍵暗号を使用してクライアントとサーバーのアプリケーションに強力な認証を提供するネットワーク認証プロトコルです。このプロトコルは、Hadoop スタックでソフトウェア エコシステム全体にわたる認証によく使用されています。

次の Dataproc Metastore サービスで Kerberos を構成できます。

Kerberos を構成するプロセスは、サービスの種類ごとに異なります。

必要な Kerberos アセット

次のセクションでは、Dataproc Metastore サービスで Kerberos を構成するために必要な Kerberos アセットの概要について説明します。

Kerberos KDC

Kerberos KDC が必要です。Dataproc クラスタのローカル KDC を使用するか、独自のものを作成してホストできます。

Kerberos プリンシパル

Dataproc Metastore サービスに Kerberos を構成する場合は、Dataproc クラスタを使用してプリンシパル ファイルを生成します。

Keytab ファイル

keytab ファイルには、Kerberos KDC でサービス プリンシパルを認証するために使用される Kerberos プリンシパルと暗号化されたキーのペアが含まれています。

Dataproc Metastore サービスに Kerberos を構成する場合は、Dataproc クラスタを使用して keytab ファイルを生成します。

  • 生成された keytab ファイルには、Hive メタストア サービス プリンシパルの名前とロケーションが含まれています。

  • 生成された keytab ファイルは、Google Cloud Secret Manager に自動的に保存されます。

    提供される Secret Manager の Secret は、特定の Secret バージョンに固定する必要があります。使用する Secret バージョンを指定する必要があります。Dataproc Metastore では、最新バージョンは自動的に選択されません。

krb5.conf ファイル

有効な krb5.conf ファイルには、KDC IP、ポート、レルム名などの Kerberos 構成情報が含まれています。

Dataproc Metastore サービスに Kerberos を構成する場合は、Dataproc クラスタを使用して keytab ファイルを生成します。

  • krb5.conf ファイルを構成するときに、ピアリングされたネットワークからアクセスできる KDC IP を指定します。KDC FQDN は指定しないでください。
  • Thrift エンドポイントを使用している場合は、ファイルを Cloud Storage バケットに保存する必要があります。既存のバケットを使用することも、新しいものを作成することもできます。

次のステップ