本页介绍了 Dataproc Metastore 如何支持 Kerberos 协议。
Kerberos 是一种网络身份验证协议,旨在通过使用 Secret 密钥加密为客户端和服务器应用提供强身份验证。它通常用于整个软件生态系统中的身份验证 Hadoop 堆栈。
您可以在以下 Dataproc Metastore 服务上配置 Kerberos:
- 使用 Thrift 端点协议的 Dataproc Metastore 服务。
- 使用 gRPC 端点协议的 Dataproc Metastore 服务。
每种类型的服务的 Kerberos 配置过程各不相同。
必需的 Kerberos 资产
以下部分介绍了为 Dataproc Metastore 服务配置 Kerberos 时需要的 Kerberos 资产的一般信息。
Kerberos KDC
必须提供 Kerberos KDC。您可以使用 Dataproc 集群的本地 KDC,也可以创建并托管自己的 KDC。
Kerberos 主账号
为 Dataproc Metastore 服务配置 Kerberos 时,您需要使用 Dataproc 集群生成主账号文件。
Keytab 文件
keytab 文件包含 Kerberos 主账号和加密密钥对,用于通过 Kerberos KDC 对服务主账号进行身份验证。
为 Dataproc Metastore 服务配置 Kerberos 时,您需要使用 Dataproc 集群生成 keytab 文件。
生成的 keytab 文件包含您的 Hive Metastore 服务主账号的名称和位置。
生成的密钥文件会自动存储在 Google Cloud Secret Manager 中。
提供的 Secret Manager Secret 必须固定到特定的 Secret 版本。您需要指定要使用的 Secret 版本,Dataproc Metastore 不会自动选择最新版本。
krb5.conf 文件
有效的 krb5.conf 文件包含 Kerberos 配置信息,例如 KDC IP、端口和大区名称。
为 Dataproc Metastore 服务配置 Kerberos 时,您需要使用 Dataproc 集群生成 keytab 文件。
- 配置
krb5.conf文件时,请指定可从对等网络访问的 KDC IP。请勿指定 KDC FQDN。 - 如果您使用的是 Thrift 端点,则必须将文件存储在 Cloud Storage 存储桶中。您可以使用现有存储桶,也可以创建一个新存储桶。
后续步骤
- 创建使用 Thrift 端点协议的 Dataproc Metastore。
- 创建使用 gRPC 端点协议的 Dataproc Metastore。