本页面介绍了 Dataproc Metastore 如何支持 Kerberos 协议。
Kerberos 是一种网络身份验证协议,旨在通过使用 Secret 密钥加密为客户端和服务器应用提供强身份验证。它通常用于整个软件生态系统中的身份验证 Hadoop 堆栈。
您可以为以下 Dataproc Metastore 服务配置 Kerberos:
- 使用 Thrift 端点协议的 Dataproc Metastore 服务。
- 使用 gRPC 端点协议的 Dataproc Metastore 服务。
配置 Kerberos 的流程因服务类型而异。
必需的 Kerberos 资产
以下部分提供了一些常规信息,介绍了您需要哪些 Kerberos 资产才能为 Dataproc Metastore 服务配置 Kerberos。
Kerberos KDC
必须提供 Kerberos KDC。 您可以使用 Dataproc 集群的本地 KDC,也可以创建并托管自己的 KDC。
Kerberos 主账号
为 Dataproc Metastore 服务配置 Kerberos 时,您可以使用 Dataproc 集群生成主账号文件。
Keytab 文件
keytab 文件包含 Kerberos 主账号和加密密钥对,用于通过 Kerberos KDC 对服务主账号进行身份验证。
为 Dataproc Metastore 服务配置 Kerberos 时,您可以使用 Dataproc 集群生成 keytab 文件。
生成的 keytab 文件包含 Hive Metastore 服务主账号的名称和位置。
生成的 keytab 文件会自动存储在 Google CloudSecret Manager 中。
提供的 Secret Manager 密文必须固定到特定的密文版本。您需要指定要使用的密文版本,Dataproc Metastore 不会自动选择最新版本。
krb5.conf 文件
有效的 krb5.conf 文件包含 Kerberos 配置信息,例如 KDC IP、端口和大区名称。
为 Dataproc Metastore 服务配置 Kerberos 时,您可以使用 Dataproc 集群生成 keytab 文件。
- 配置
krb5.conf文件时,请指定可从对等网络访问的 KDC IP。请勿指定 KDC FQDN。 - 如果您使用的是 Thrift 端点,则必须将文件存储在 Cloud Storage 存储桶中。您可以使用现有存储桶,也可以创建新存储桶。
后续步骤
- 创建使用 Thrift 端点协议的 Dataproc Metastore。
- 创建使用 gRPC 端点协议的 Dataproc Metastore。