En esta página, se describe cómo Dataproc Metastore admite el protocolo Kerberos.
Kerberos es un protocolo de autenticación de red diseñado para proporcionar autenticación sólida para aplicaciones cliente y servidor mediante criptografía de clave secreta. Por lo general, se usa entre la pila de Hadoop para la autenticación en todo el ecosistema de software.
Puedes configurar Kerberos en los siguientes servicios de Dataproc Metastore:
- Un servicio de Dataproc Metastore que usa el protocolo de extremo de Thrift
- Un servicio de Dataproc Metastore que usa el protocolo de extremo de gRPC
El proceso para configurar Kerberos es diferente para cada tipo de servicio.
Recursos de Kerberos obligatorios
En la siguiente sección, se proporciona información general sobre los recursos de Kerberos que necesitas para configurar Kerberos para un servicio de Dataproc Metastore.
KDC de Kerberos
Se requiere un KDC de Kerberos. Puedes usar el KDC local de un clúster de Dataproc o crear y alojar el tuyo.
Principal de Kerberos
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo principal con un clúster de Dataproc.
Archivo keytab
Un archivo keytab contiene pares de principales de Kerberos y claves encriptadas, que se usan para autenticar un principal de servicio con un KDC de Kerberos.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab con un clúster de Dataproc.
El archivo keytab generado contiene el nombre y la ubicación del principal del servicio de metastore de Hive.
El archivo keytab generado se almacena automáticamente en un Secret Manager de Google Cloud.
El secreto de Secret Manager proporcionado debe fijarse en una versión específica del secreto. Debes especificar la versión del secreto que deseas usar, ya que Dataproc Metastore no elige la versión más reciente automáticamente.
Archivo krb5.conf
Un archivo krb5.conf válido contiene información de configuración de Kerberos, como la IP de KDC, el puerto y el nombre del dominio.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab con un clúster de Dataproc.
- Cuando configures el archivo
krb5.conf, especifica la IP del KDC a la que se puede acceder desde tu red de pares. No especifiques el FQDN del KDC. - Si usas el extremo Thrift, debes almacenar el archivo en un bucket de Cloud Storage. Puedes usar un bucket existente o crear uno nuevo.
¿Qué sigue?
- Crea un Dataproc Metastore que use el protocolo de extremo de Thrift.
- Crea un Dataproc Metastore que use el protocolo de extremo de gRPC.