In questa pagina viene descritto in che modo Dataproc Metastore supporta il protocollo Kerberos.
Kerberos è un protocollo di autenticazione di rete progettato per fornire un'autenticazione avanzata per applicazioni client e server tramite la crittografia a chiave secret. È comunemente utilizzato nello stack Hadoop per l'autenticazione nell'intero ecosistema software.
Puoi configurare Kerberos sui seguenti servizi Dataproc Metastore:
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.
La procedura di configurazione di Kerberos varia per ogni tipo di servizio.
Asset Kerberos obbligatori
La sezione seguente fornisce informazioni generali sugli asset Kerberos necessari per configurare Kerberos per un servizio Dataproc Metastore.
KDC Kerberos
È richiesto un KDC Kerberos. Puoi utilizzare il KDC locale di un cluster Dataproc oppure crearne e ospitarne uno personalizzato.
Entità Kerberos
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file dell'entità utilizzando un cluster Dataproc.
File Keytab
Un file keytab contiene coppie di entità Kerberos e chiavi criptate utilizzate per autenticare un'entità servizio con un KDC Kerberos.
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file keytab utilizzando un cluster Dataproc.
Il file keytab generato contiene il nome e il percorso dell'entità di servizio Hive metastore.
Il file keytab generato viene archiviato automaticamente in Google Cloud Secret Manager.
Il secret di Secret Manager fornito deve essere bloccato su una versione del secret specifica. Devi specificare la versione del secret che vuoi utilizzare; Dataproc Metastore non sceglie automaticamente la versione più recente.
File krb5.conf
Un file krb5.conf valido contiene informazioni sulla configurazione Kerberos, ad esempio l'IP, la porta e il nome dell'area di autenticazione KDC.
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file keytab utilizzando un cluster Dataproc.
- Quando configuri il file
krb5.conf, specifica l'IP KDC accessibile dalla rete in peering. Non specificare il nome di dominio completo KDC. - Se utilizzi l'endpoint Thrift, devi archiviare il file in un bucket Cloud Storage. Puoi utilizzare un bucket esistente o crearne uno nuovo.
Passaggi successivi
- Crea un Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Crea un Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.