Como o Kerberos funciona com o metastore do Dataproc
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos como o metastore do Dataproc oferece suporte ao protocolo Kerberos.
Kerberos é um protocolo de autenticação de rede projetado para fornecer autenticação forte para aplicativos cliente e servidor usando criptografia de chave secreta. Ele é comumente
usado entre a pilha do Hadoop para autenticação em todo o ecossistema de software.
É possível configurar o Kerberos nos seguintes serviços do metastore do Dataproc:
O processo de configuração do Kerberos é diferente para cada tipo de serviço.
Recursos obrigatórios do Kerberos
A seção a seguir fornece informações gerais sobre os recursos do Kerberos que você precisa configurar para um serviço do Dataproc Metastore.
KDC do Kerberos
É necessário um KDC do Kerberos.
É possível usar o KDC local de um cluster do Dataproc ou criar e hospedar o seu próprio.
Principal do Kerberos
Ao configurar o Kerberos para um serviço do Dataproc Metastore, você
gera o arquivo principal usando um cluster do Dataproc.
Arquivo keytab
Um arquivo keytab contém pares de principais do Kerberos e chaves criptografadas, que
são usadas para autenticar um principal de serviço com um KDC do Kerberos.
Ao configurar o Kerberos para um serviço do Dataproc Metastore, você
gera o arquivo keytab usando um cluster do Dataproc.
O arquivo keytab gerado contém o nome e o local do principal de serviço do metastore do Hive.
A chave secreta do Secret Manager fornecida precisa ser fixada a uma versão do secret específica. É necessário especificar a versão do secret que você quer usar. O Dataproc Metastore não escolhe a versão mais recente automaticamente.
Arquivo krb5.conf
Um arquivo krb5.conf válido contém informações de configuração do Kerberos, como
o IP do KDC, a porta e o nome do realm.
Ao configurar o Kerberos para um serviço do Dataproc Metastore, você
gera o arquivo keytab usando um cluster do Dataproc.
Ao configurar o arquivo krb5.conf, especifique o IP do KDC acessível
na rede de peering. Não especifique o FQDN do KDC.
Se você estiver usando o endpoint Thrift, armazene o arquivo em um bucket do Cloud Storage. Você pode usar um bucket atual ou criar um novo.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-02 UTC."],[[["\u003cp\u003eDataproc Metastore supports the Kerberos network authentication protocol for securing client and server applications.\u003c/p\u003e\n"],["\u003cp\u003eKerberos can be configured for Dataproc Metastore services using either the Thrift or gRPC endpoint protocols.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring Kerberos requires a Kerberos KDC, a principal file, a keytab file stored in Google Cloud Secret Manager, and a \u003ccode\u003ekrb5.conf\u003c/code\u003e file.\u003c/p\u003e\n"],["\u003cp\u003eThe keytab file contains the Hive metastore service principal's name and location, and the \u003ccode\u003ekrb5.conf\u003c/code\u003e file should specify the accessible KDC IP.\u003c/p\u003e\n"],["\u003cp\u003eThe krb5.conf file for Thrift endpoints must be stored in a Cloud Storage bucket.\u003c/p\u003e\n"]]],[],null,["# How Kerberos works with Dataproc Metastore\n\nThis page describes how Dataproc Metastore supports the Kerberos protocol.\n\n[Kerberos](https://web.mit.edu/kerberos/) is a network\nauthentication protocol that is designed to provide strong authentication for\nclient and server applications by using secret-key cryptography. It's commonly\nused among the Hadoop stack for authentication throughout the software\necosystem.\n\nYou can configure Kerberos on the following Dataproc Metastore services:\n\n- A Dataproc Metastore service that uses the [Thrift endpoint\n protocol](/dataproc-metastore/docs/configure-kerberos).\n- A Dataproc Metastore service that uses the [gRPC endpoint\n protocol](/dataproc-metastore/docs/configure-kerberos-grpc).\n\nThe process for configuring Kerberos is different for each type of service.\n\nRequired Kerberos assets\n------------------------\n\nThe following section provides general information on the Kerberos assets that you\nneed to configure Kerberos for a Dataproc Metastore service.\n\n**Kerberos KDC**\n\nA [Kerberos KDC](https://en.wikipedia.org/wiki/Key_distribution_center) is required.\nYou can use the local KDC of a Dataproc cluster or create and host your own.\n\n**Kerberos principal**\n\nWhen you configure Kerberos for a Dataproc Metastore service, you\ngenerate your principal file using a Dataproc cluster.\n\n**Keytab file**\n\nA keytab file contains pairs of Kerberos principals and encrypted keys, which\nare used to authenticate a service principal with a Kerberos KDC.\n\nWhen you configure Kerberos for a Dataproc Metastore service, you\ngenerate your keytab file using a Dataproc cluster.\n\n- The generated keytab file contains the name and location of your Hive metastore service principal.\n\n- The generated keytab file is automatically stored in a [Google Cloud\n Secret Manager](/secret-manager/docs/overview).\n\n The Secret Manager\n secret provided must be [pinned to a specific secret version](/secret-manager/docs/add-secret-version#secretmanager-add-secret-version-gcloud). You need to specify\n the secret version that you want to use, Dataproc Metastore does\n not pick the latest version automatically.\n\n**krb5.conf file**\n\nA valid `krb5.conf` file contains Kerberos configuration information, such as\nthe KDC IP, port, and realm name.\n\nWhen you configure Kerberos for a Dataproc Metastore service, you\ngenerate your keytab file using a Dataproc cluster.\n\n- When configuring the `krb5.conf` file, specify the KDC IP that is accessible from your peered network. Don't specify the KDC FQDN.\n- If you are using the Thrift endpoint, you must store the file in a Cloud Storage bucket. You can use an existing bucket or create a new one.\n\nWhat's next\n-----------\n\n- Create a Dataproc Metastore that uses the [Thrift endpoint\n protocol](/dataproc-metastore/docs/configure-kerberos).\n- Create a Dataproc Metastore that uses the [gRPC endpoint\n protocol](/dataproc-metastore/docs/configure-kerberos-grpc)."]]
