本頁說明 Dataproc Metastore 如何支援 Kerberos 通訊協定。
Kerberos 是一種網路驗證通訊協定,透過使用密鑰加密技術為用戶端和伺服器應用程式提供高強度驗證。在整個軟體生態系統中,Hadoop 堆疊通常會使用 Kerberos 進行驗證。
您可以在下列 Dataproc Metastore 服務上設定 Kerberos:
- 使用 Thrift 端點通訊協定的 Dataproc Metastore 服務。
- 使用 gRPC 端點通訊協定的 Dataproc Metastore 服務。
設定 Kerberos 的程序會因服務類型而異。
必要的 Kerberos 資產
以下章節提供 Kerberos 資產的一般資訊,您需要設定這些資產,才能為 Dataproc Metastore 服務設定 Kerberos。
Kerberos KDC
必須提供 Kerberos KDC。 您可以使用 Dataproc 叢集的本機 KDC,也可以自行建立及代管。
Kerberos 主體
為 Dataproc Metastore 服務設定 Kerberos 時,您會使用 Dataproc 叢集產生主體檔案。
Keytab 檔案
keytab 檔案包含一對 Kerberos 主體和加密金鑰,用於向 Kerberos KDC 驗證服務主體。
為 Dataproc Metastore 服務設定 Kerberos 時,您會使用 Dataproc 叢集產生 keytab 檔案。
產生的 keytab 檔案包含 Hive Metastore 服務主體的名稱和位置。
產生的 keytab 檔案會自動儲存在 Google CloudSecret Manager 中。
提供的 Secret Manager 密鑰必須固定為特定密鑰版本。您必須指定要使用的密鑰版本,Dataproc Metastore 不會自動選取最新版本。
krb5.conf 檔案
有效的 krb5.conf 檔案包含 Kerberos 設定資訊,例如 KDC IP、連接埠和領域名稱。
為 Dataproc Metastore 服務設定 Kerberos 時,您會使用 Dataproc 叢集產生 keytab 檔案。
- 設定
krb5.conf檔案時,請指定可從對等互連網路存取的 KDC IP。請勿指定 KDC FQDN。 - 如果您使用 Thrift 端點,必須將檔案儲存在 Cloud Storage bucket 中。您可以使用現有值區或建立新值區。
後續步驟
- 建立使用 Thrift 端點 通訊協定的 Dataproc Metastore。
- 建立使用 gRPC 端點 通訊協定的 Dataproc Metastore。