Cette page décrit la compatibilité de Dataproc Metastore avec le protocole Kerberos.
Kerberos est un protocole d'authentification réseau conçu pour fournir une authentification forte aux applications client et serveur à l'aide de la cryptographie à clé secrète. Il est couramment utilisé au sein de la pile Hadoop pour l'authentification dans l'ensemble de l'écosystème logiciel.
Vous pouvez configurer Kerberos sur les services Dataproc Metastore suivants:
- Un service Dataproc Metastore utilisant le protocole de point de terminaison Thrift.
- Un service Dataproc Metastore utilisant le protocole de point de terminaison gRPC
Le processus de configuration de Kerberos est différent pour chaque type de service.
Éléments Kerberos requis
La section suivante fournit des informations générales sur les éléments Kerberos dont vous avez besoin pour configurer Kerberos pour un service Dataproc Metastore.
KDC Kerberos
Un KDC Kerberos est requis. Vous pouvez utiliser le KDC local d'un cluster Dataproc ou créer et héberger le vôtre.
Compte principal Kerberos
Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez le fichier principal à l'aide d'un cluster Dataproc.
Fichier Keytab
Un fichier keytab contient des paires de comptes principaux Kerberos et de clés chiffrées, qui permettent d'authentifier un compte principal de service auprès d'un KDC Kerberos.
Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez le fichier keytab à l'aide d'un cluster Dataproc.
Le fichier keytab généré contient le nom et l'emplacement du compte principal de votre service de métastore Hive.
Le fichier keytab généré est automatiquement stocké dans Google Cloud Secret Manager.
Le secret Secret Manager fourni doit être épinglé à une version de secret spécifique. Vous devez spécifier la version du secret que vous souhaitez utiliser. Dataproc Metastore ne sélectionne pas automatiquement la dernière version.
Fichier krb5.conf
Un fichier krb5.conf valide contient des informations de configuration Kerberos, telles que l'adresse IP, le port et le nom de domaine du KDC.
Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez le fichier keytab à l'aide d'un cluster Dataproc.
- Lors de la configuration du fichier
krb5.conf, spécifiez l'adresse IP KDC accessible à partir de votre réseau appairé. Ne spécifiez pas le nom de domaine complet KDC. - Si vous utilisez le point de terminaison Thrift, vous devez stocker le fichier dans un bucket Cloud Storage. Vous pouvez utiliser un bucket existant ou en créer un.
Étapes suivantes
- Créez un Dataproc Metastore qui utilise le protocole de point de terminaison Thrift.
- Créez un Dataproc Metastore qui utilise le protocole de point de terminaison gRPC.