Auf dieser Seite wird beschrieben, wie Dataproc Metastore das Kerberos-Protokoll unterstützt.
Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das für eine starke Authentifizierung für Client- und Serveranwendungen unter Verwendung der Secret-Schlüssel-Kryptografie vorgesehen ist. Es wird häufig für die Authentifizierung in der gesamten Softwareumgebung verwendet.
Sie können Kerberos für die folgenden Dataproc Metastore-Dienste konfigurieren:
- Ein Dataproc Metastore-Dienst, der das Thrift-Endpunktprotokoll verwendet.
- Ein Dataproc Metastore-Dienst, der das gRPC-Endpunktprotokoll verwendet.
Die Konfiguration von Kerberos unterscheidet sich je nach Diensttyp.
Erforderliche Kerberos-Assets
Im folgenden Abschnitt finden Sie allgemeine Informationen zu den Kerberos-Assets, die Sie zum Konfigurieren von Kerberos für einen Dataproc Metastore-Dienst benötigen.
Kerberos-KDC
Ein Kerberos-KDC ist erforderlich. Sie können den lokalen KDC eines Dataproc-Clusters verwenden oder einen eigenen erstellen und hosten.
Kerberos-Principal
Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Hauptdatei mit einem Dataproc-Cluster.
Keytab-Datei
Eine Keytab-Datei enthält Paare aus Kerberos-Hauptkonten und verschlüsselten Schlüsseln, die zum Authentifizieren eines Dienstprinzipals bei einem Kerberos-KDC verwendet werden.
Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Keytab-Datei mit einem Dataproc-Cluster.
Die generierte Keytab-Datei enthält den Namen und Speicherort des Hive-Metastore-Dienstprinzipals.
Die generierte Keytab-Datei wird automatisch in einem Google Cloud Secret Manager gespeichert.
Das angegebene Secret Manager-Secret muss an eine bestimmte Secret-Version angepinnt sein. Sie müssen die gewünschte Secret-Version angeben, da Dataproc Metastore nicht automatisch die neueste Version auswählt.
krb5.conf-Datei
Eine gültige krb5.conf-Datei enthält Kerberos-Konfigurationsinformationen wie die KDC-IP-Adresse, den Port und den Realmnamen.
Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Keytab-Datei mit einem Dataproc-Cluster.
- Geben Sie beim Konfigurieren der
krb5.conf-Datei die KDC-IP an, auf die über Ihr Peering-Netzwerk zugegriffen werden kann. Geben Sie den FQDN des KDC nicht an. - Wenn Sie den Thrift-Endpunkt verwenden, müssen Sie die Datei in einem Cloud Storage-Bucket speichern. Sie können einen vorhandenen Bucket verwenden oder einen neuen erstellen.
Nächste Schritte
- Erstellen Sie einen Dataproc Metastore, der das Thrift-Endpunktprotokoll verwendet.
- Erstellen Sie einen Dataproc Metastore, der das gRPC-Endpunktprotokoll verwendet.