Kerberos 如何与 Dataproc Metastore 搭配使用

本页面介绍了 Dataproc Metastore 如何支持 Kerberos 协议。

Kerberos 是一种网络身份验证协议，旨在通过使用 Secret 密钥加密为客户端和服务器应用提供强身份验证。它通常用于整个软件生态系统中的身份验证 Hadoop 堆栈。

您可以为以下 Dataproc Metastore 服务配置 Kerberos：

• 使用 Thrift 端点协议的 Dataproc Metastore 服务。
• 使用 gRPC 端点协议的 Dataproc Metastore 服务。

配置 Kerberos 的流程因服务类型而异。

必需的 Kerberos 资产

以下部分提供了一些常规信息，介绍了您需要哪些 Kerberos 资产才能为 Dataproc Metastore 服务配置 Kerberos。

Kerberos KDC

必须提供 Kerberos KDC。 您可以使用 Dataproc 集群的本地 KDC，也可以创建并托管自己的 KDC。

Kerberos 主账号

为 Dataproc Metastore 服务配置 Kerberos 时，您可以使用 Dataproc 集群生成主账号文件。

Keytab 文件

keytab 文件包含 Kerberos 主账号和加密密钥对，用于通过 Kerberos KDC 对服务主账号进行身份验证。

为 Dataproc Metastore 服务配置 Kerberos 时，您可以使用 Dataproc 集群生成 keytab 文件。

• 生成的 keytab 文件包含 Hive Metastore 服务主账号的名称和位置。

• 生成的 keytab 文件会自动存储在 Google CloudSecret Manager 中。

  提供的 Secret Manager 密文必须固定到特定的密文版本。您需要指定要使用的密文版本，Dataproc Metastore 不会自动选择最新版本。

krb5.conf 文件

有效的 krb5.conf 文件包含 Kerberos 配置信息，例如 KDC IP、端口和大区名称。

为 Dataproc Metastore 服务配置 Kerberos 时，您可以使用 Dataproc 集群生成 keytab 文件。

• 配置 krb5.conf 文件时，请指定可从对等网络访问的 KDC IP。请勿指定 KDC FQDN。
• 如果您使用的是 Thrift 端点，则必须将文件存储在 Cloud Storage 存储桶中。您可以使用现有存储桶，也可以创建新存储桶。

后续步骤

• 创建使用 Thrift 端点协议的 Dataproc Metastore。
• 创建使用 gRPC 端点协议的 Dataproc Metastore。