En esta página, se describe cómo Dataproc Metastore admite el protocolo Kerberos.
Kerberos es un protocolo de autenticación de red diseñado para proporcionar autenticación sólida para aplicaciones cliente y servidor mediante criptografía con clave secreta. Por lo general, se usa en la pila de Hadoop para la autenticación en todo el ecosistema de software.
Puedes configurar Kerberos en los siguientes servicios de Dataproc Metastore:
- Un servicio de Dataproc Metastore que use el protocolo de extremo de Thrift.
- Un servicio de Dataproc Metastore que use el protocolo de extremo de gRPC.
El proceso de configuración de Kerberos es diferente para cada tipo de servicio.
Elementos de Kerberos obligatorios
En la siguiente sección, se proporciona información general sobre los recursos de Kerberos que necesitas para configurar Kerberos para un servicio de Dataproc Metastore.
KDC de Kerberos
Se requiere un KDC de Kerberos. Puedes usar el KDC local de un clúster de Dataproc o crear y alojar el tuyo.
Principal de Kerberos
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo principal mediante un clúster de Dataproc.
Archivo Keytab
Un archivo keytab contiene pares de principales y claves encriptadas de Kerberos, que se utilizan para autenticar una cuenta principal de servicio con un KDC de Kerberos.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab mediante un clúster de Dataproc.
El archivo keytab generado contiene el nombre y la ubicación de la principal del servicio de almacén de metadatos de Hive.
El archivo keytab generado se almacena automáticamente en un Secret Manager de Google Cloud.
El secreto de Secret Manager que proporciones se debe fijar a una versión específica del secreto. Debes especificar la versión del secreto que deseas usar, Dataproc Metastore no elige la versión más reciente de forma automática.
Archivo krb5.conf
Un archivo krb5.conf válido contiene información de configuración de Kerberos, como la IP de KDC, el puerto y el nombre del dominio.
Cuando configuras Kerberos para un servicio de Dataproc Metastore, generas tu archivo keytab mediante un clúster de Dataproc.
- Cuando configures el archivo
krb5.conf, especifica la IP de KDC a la que se puede acceder desde tu red de intercambio de tráfico. No especifiques el FQDN de KDC. - Si usas el extremo de Thrift, debes almacenar el archivo en un bucket de Cloud Storage. Puedes usar un bucket existente o crear uno nuevo.
¿Qué sigue?
- Crea un Dataproc Metastore que use el protocolo de extremo de Thrift.
- Crea un Dataproc Metastore que use el protocolo de extremo de gRPC.