本頁說明 Dataproc Metastore 如何支援 Kerberos 通訊協定。
Kerberos 是一種網路驗證通訊協定,旨在透過使用密鑰加密技術,為用戶端和伺服器應用程式提供高強度驗證。這項服務通常用於 Hadoop 堆疊,用於整個軟體生態系統的驗證。
您可以在下列 Dataproc Metastore 服務上設定 Kerberos:
- 使用 Thrift 端點通訊協定的 Dataproc Metastore 服務。
- 使用 gRPC 端點通訊協定的 Dataproc Metastore 服務。
每種服務類型的 Kerberos 設定程序皆不同。
必要的 Kerberos 素材資源
以下說明設定 Dataproc Metastore 服務的 Kerberos 時,需要的 Kerberos 資產相關資訊。
Kerberos KDC
必須使用 Kerberos KDC。您可以使用 Dataproc 叢集的本機 KDC,也可以自行建立並代管 KDC。
Kerberos 主體
為 Dataproc Metastore 服務設定 Kerberos 時,您會使用 Dataproc 叢集產生主體檔案。
Keytab 檔案
keytab 檔案包含一對 Kerberos 主體和加密金鑰,用於透過 Kerberos KDC 驗證服務主體。
為 Dataproc Metastore 服務設定 Kerberos 時,您會使用 Dataproc 叢集產生 keytab 檔案。
產生的 keytab 檔案包含 Hive 元資料庫服務主體的名稱和位置。
系統會自動將產生的 keytab 檔案儲存在 Google CloudSecret Manager 中。
您提供的 Secret Manager 密鑰必須固定在特定密鑰版本。您必須指定要使用的機密版本,Dataproc Metastore 不會自動挑選最新版本。
krb5.conf 檔案
有效的 krb5.conf 檔案包含 Kerberos 設定資訊,例如 KDC IP、連接埠和領域名稱。
為 Dataproc Metastore 服務設定 Kerberos 時,您會使用 Dataproc 叢集產生 keytab 檔案。
- 設定
krb5.conf檔案時,請指定可從對等網路存取的 KDC IP。請勿指定 KDC FQDN。 - 如果您使用 Thrift 端點,則必須將檔案儲存在 Cloud Storage 值區中。您可以使用現有值區或建立新的值區。
後續步驟
- 建立使用 Thrift 端點通訊協定的 Dataproc Metastore。
- 建立使用 gRPC 端點通訊協定的 Dataproc Metastore。