이 페이지에서는 Dataproc Metastore가 Kerberos 프로토콜을 지원하는 방법을 설명합니다.
Kerberos는 보안 비밀 키 암호화를 사용하여 클라이언트 및 서버 애플리케이션에 강력한 인증을 제공하도록 설계된 네트워크 인증 프로토콜입니다. 소프트웨어 생태계 전반에서 인증을 위한 Hadoop 스택 간에 일반적으로 사용됩니다.
다음 Dataproc Metastore 서비스에서 Kerberos를 구성할 수 있습니다.
- Thrift 엔드포인트 프로토콜을 사용하는 Dataproc Metastore 서비스
- gRPC 엔드포인트 프로토콜을 사용하는 Dataproc Metastore 서비스
Kerberos 구성 프로세스는 서비스 유형마다 다릅니다.
필요한 Kerberos 애셋
다음 섹션에서는 Dataproc Metastore 서비스에 대해 Kerberos를 구성하는 데 필요한 Kerberos 애셋에 대한 일반적인 정보를 제공합니다.
Kerberos KDC
Kerberos KDC가 필요합니다. Dataproc 클러스터의 로컬 KDC를 사용하거나 직접 만들고 호스팅할 수 있습니다.
Kerberos 주 구성원
Dataproc Metastore 서비스에 대해 Kerberos를 구성할 때 Dataproc 클러스터를 사용하여 주 구성원 파일을 생성합니다.
Keytab 파일
Keytab 파일에는 Kerberos 주체 및 암호화된 키 쌍이 포함되어 있으며, Kerberos KDC로 서비스 주체를 인증하기 위해 사용될 수 있습니다.
Dataproc Metastore 서비스에 대해 Kerberos를 구성할 때 Dataproc 클러스터를 사용하여 keytab 파일을 생성합니다.
생성된 keytab 파일에는 Hive 메타스토어 서비스 주 구성원의 이름과 위치가 포함됩니다.
생성된 keytab 파일은 Google Cloud Secret Manager에 자동으로 저장됩니다.
제공된 Secret Manager 보안 비밀은 특정 보안 비밀 버전으로 고정되어 있어야 합니다. 사용하려는 보안 비밀 버전을 지정해야 합니다. Dataproc Metastore는 최신 버전을 자동으로 선택하지 않습니다.
krb5.conf 파일
유효한 krb5.conf 파일에는 KDC IP, 포트, 렐름 이름과 같은 Kerberos 구성 정보가 포함됩니다.
Dataproc Metastore 서비스에 대해 Kerberos를 구성할 때 Dataproc 클러스터를 사용하여 keytab 파일을 생성합니다.
krb5.conf파일을 구성할 때 피어링된 네트워크에서 액세스할 수 있는 KDC IP를 지정합니다. KDC FQDN을 지정하지 마세요.- Thrift 엔드포인트를 사용하는 경우 파일을 Cloud Storage 버킷에 저장해야 합니다. 기존 버킷을 사용하거나 새 버킷을 만들 수 있습니다.
다음 단계
- Thrift 엔드포인트 프로토콜을 사용하는 Dataproc Metastore를 만듭니다.
- gRPC 엔드포인트 프로토콜을 사용하는 Dataproc Metastore를 만듭니다.