Esta página descreve como o Dataproc Metastore suporta o protocolo Kerberos.
O Kerberos é um protocolo de autenticação de rede concebido para fornecer uma autenticação forte para aplicações cliente e servidor através da utilização de criptografia de chave secreta. É frequentemente usado na pilha do Hadoop para autenticação em todo o ecossistema de software.
Pode configurar o Kerberos nos seguintes serviços do Dataproc Metastore:
- Um serviço de Metastore do Dataproc que usa o protocolo de ponto final Thrift.
- Um serviço Dataproc Metastore que usa o protocolo de ponto final gRPC.
O processo de configuração do Kerberos é diferente para cada tipo de serviço.
Recursos Kerberos necessários
A secção seguinte fornece informações gerais sobre os recursos do Kerberos que tem de configurar para um serviço do Dataproc Metastore.
KDC do Kerberos
É necessário um KDC do Kerberos. Pode usar o KDC local de um cluster do Dataproc ou criar e alojar o seu próprio.
Principal do Kerberos
Quando configura o Kerberos para um serviço do Dataproc Metastore, gera o ficheiro principal através de um cluster do Dataproc.
Ficheiro keytab
Um ficheiro keytab contém pares de principais do Kerberos e chaves encriptadas, que são usados para autenticar um principal do serviço com um KDC do Kerberos.
Quando configura o Kerberos para um serviço do Dataproc Metastore, gera o ficheiro keytab através de um cluster do Dataproc.
O ficheiro keytab gerado contém o nome e a localização do principal do serviço de metastore do Hive.
O ficheiro keytab gerado é armazenado automaticamente num Google Cloud Secret Manager.
O Secret do Secret Manager fornecido tem de estar associado a uma versão específica do Secret. Tem de especificar a versão do segredo que quer usar. O Dataproc Metastore não escolhe a versão mais recente automaticamente.
Ficheiro krb5.conf
Um ficheiro krb5.conf válido contém informações de configuração do Kerberos, como o IP, a porta e o nome do domínio do KDC.
Quando configura o Kerberos para um serviço do Dataproc Metastore, gera o ficheiro keytab através de um cluster do Dataproc.
- Ao configurar o ficheiro
krb5.conf, especifique o IP do KDC acessível a partir da sua rede com peering. Não especifique o FQDN do KDC. - Se estiver a usar o ponto final Thrift, tem de armazenar o ficheiro num contentor do Cloud Storage. Pode usar um contentor existente ou criar um novo.
O que se segue?
- Crie um Dataproc Metastore que use o protocolo do ponto final Thrift.
- Crie um Dataproc Metastore que use o protocolo do ponto final gRPC.