En esta página, se describe cómo Dataproc Metastore admite el protocolo Kerberos.
Kerberos es un protocolo de autenticación de red diseñado para proporcionar autenticación sólida para aplicaciones cliente y servidor mediante criptografía de clave secreta. Por lo general, se usa entre la pila de Hadoop para la autenticación en todo el ecosistema de software.
Puedes configurar Kerberos en los siguientes servicios de Dataproc Metastore:
- Un servicio de Dataproc Metastore que usa el protocolo de extremo Thrift
- Un servicio de Dataproc Metastore que usa el protocolo de extremo de gRPC.
El proceso para configurar Kerberos es diferente para cada tipo de servicio.
Recursos de Kerberos obligatorios
En la siguiente sección, se proporciona información general sobre los activos de Kerberos que necesitas para configurar Kerberos en un servicio de Dataproc Metastore.
KDC de Kerberos
Se requiere un KDC de Kerberos. Puedes usar el KDC local de un clúster de Dataproc o crear y alojar el tuyo propio.
Principal de Kerberos
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo principal con un clúster de Dataproc.
Archivo keytab
Un archivo keytab contiene pares de principales de Kerberos y claves encriptadas, que se usan para autenticar un principal de servicio con un KDC de Kerberos.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab con un clúster de Dataproc.
El archivo keytab generado contiene el nombre y la ubicación de tu principal del servicio de Hive metastore.
El archivo keytab generado se almacena automáticamente en un Google Cloudde Secret Manager.
El secreto de Secret Manager proporcionado debe estar fijado en una versión específica del secreto. Debes especificar la versión del secreto que deseas usar. Dataproc Metastore no elige la versión más reciente de forma automática.
Archivo krb5.conf
Un archivo krb5.conf válido contiene información de configuración de Kerberos, como la IP de KDC, el puerto y el nombre del dominio.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab con un clúster de Dataproc.
- Cuando configures el archivo
krb5.conf, especifica la IP del KDC a la que se puede acceder desde tu red interconectada. No especifiques el FQDN del KDC. - Si usas el extremo de Thrift, debes almacenar el archivo en un bucket de Cloud Storage. Puedes usar un bucket existente o crear uno nuevo.
¿Qué sigue?
- Crea un Dataproc Metastore que use el protocolo de extremo de Thrift.
- Crea un Dataproc Metastore que use el protocolo de extremo de gRPC.