CDH实操--配置Kerberos服务高可用(一)

耀灵2年前技术文章819


前置条件

1.主Kerberos已安装并与CDH集成

2.备节点安装Kerberos服务

yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

1.png

注意:此处只安装服务,暂不做相应配置及启动服务。

3.主Kerberos节点操作

1.修改/etc/krb5.conf的配置文件,在realms配置下增加备Kerberos的配置

2.png

2.将修改后的/etc/krb5.conf文件同步到集群的所有Kerberos客户端节点相应目录

3.png

3.保存配置,然后重启krb5kdc和kadmin服务

systemctl restart krb5kdc
systemctl restart kadmin

4.创建主从同步账号,并为账号生成keytab文件

kadmin.local -q "addprinc -randkey host/cm01.pbwear.com@PBWEAR.COM"
kadmin.local -q "addprinc -randkey host/cm02.pbwear.com@PBWEAR.COM"

kadmin.local -q "ktadd host/cm01.pbwear.com@PBWEAR.COM"
kadmin.local -q "ktadd host/cm02.pbwear.com@PBWEAR.COM"

4.png

使用随机生成秘钥的方式创建同步账号,并使用ktadd命令生成同步账号的keytab文件,默认文件生成在/etc/krb5.keytab下,生成多个账号则在krb5.keytab基础上追加.

5.复制以下文件到备Kerberos服务器相应目录

(1)将/etc目录下的krb5.conf和krb5.keytab文件拷贝至备Kerberos服务器的/etc目录下

(2)将/var/kerberos/krb5kdc目录下的.k5.CLOUDERA.COM、kadm5.acl和kdc.conf文件拷贝至备Kerberos服务器的/var/kerberos/krb5kdc目录

root@cm01.pbwear.com:/root>scp -P 60094 -rp /etc/krb5.keytab cm02.pbwear.com:/etc/

root@cm01.pbwear.com:/var/kerberos/krb5kdc>scp -rp -P 60094 .k5.PBWEAR.COM kadm5.acl kdc.conf cm02.pbwear.com:/var/kerberos/krb5kdc

5.png

6.png

7.png

4.备Kerberos节点操作

1.需要申明用来同步的用户,在/var/kerberos/krb5kdc/kpropd.acl配置文件中添加对应账户,如果配置文件不存在则新增

root@cm02.pbwear.com:/var/kerberos/krb5kdc>cat kpropd.acl 
host/cm01.pbwear.com@PBWEAR.COM
host/cm02.pbwear.com@PBWEAR.COM
root@cm02.pbwear.com:/var/kerberos/krb5kdc>

8.png

2.启动kprop服务并加入系统自启动

systemctl enable kprop
systemctl start kprop

9.png

5.主节点数据同步至备节点

1.在主节点上使用kdb5_util命令导出Kerberos数据库文件

root@cm01.pbwear.com:/var/kerberos/krb5kdc>kdb5_util dump /var/kerberos/krb5kdc/master.dump

导出成功后生成master.dump和master.dump.dump_ok两个文件。

10.png

2.在主节点上使用kprop命令将master.dump文件同步至备节点

root@cm01.pbwear.com:/var/kerberos/krb5kdc>kprop -f /var/kerberos/krb5kdc/master.dump -d -P 754 cm02.pbwear.com
32768 bytes sent.
47445 bytes sent.
Database propagation to cm02.pbwear.com: SUCCEEDED
root@cm01.pbwear.com:/var/kerberos/krb5kdc>

11.png

有如上图标识则表示数据同步成功。

3.在备节点的/var/kerberos/krb5kdc目录下查看

12.png

在备节点的/var/kerberos/krb5kdc目录下增加了如上图标识的文件。

6.配置主节点crontab任务定时同步数据

root@cm01.pbwear.com:/var/kerberos/krb5kdc>cat kprop_sync.sh 
#!/bin/bash
DUMP="/var/kerberos/krb5kdc/master.dump"
PORT=754
SLAVE="cm02.pbwear.com"
TIMESTAMP=`date`
echo "Start at $TIMESTAMP"

/usr/sbin/kdb5_util dump $DUMP
echo `/usr/sbin/kprop -f $DUMP -d -P $PORT $SLAVE`
root@cm01.pbwear.com:/var/kerberos/krb5kdc>

13.png

配置定时同步任务:

*/3 * * * * /usr/bin/sh /var/kerberos/krb5kdc/kprop_sync.sh >/var/kerberos/krb5kdc/lastupdate

14.png


相关文章

手动模拟 CNI 网络中 host-gw 模式互通

手动模拟 CNI 网络中 host-gw 模式互通

在Kubernetes中,CNI的作用就是让两台Node节点之间的Pod能够互相通信,其中有封包的方式,也有路由转发的方式,host-gw就是路由转发的方式。host-gw 模式介绍host-gw模式...

Haproxy配置负载均衡

yum安装haproxy如果后面要配置高可用,和keepalived配合使用更佳。yum install haproxy修改配置文件设置impala和ldap的负载均衡(Impala Daemon分布...

PromQL查询解析

一. 概述Prometheus除了存储数据外,还提供了一种强大的功能表达式语言 PromQL,允许用户实时选择和汇聚时间序列数据。表达式的结果可以在浏览器中显示为图形,也可以显示为表格数据,或者由外部...

Ldap高可用部署

Ldap配置高可用两个节点上均执行mkdir /data/ldapcd /data/ldap1.1. 添加mod_syncprov.ldif文件vi mod_syncprov.ldif 内容如下:ob...

Admission 准入控制器

准入控制器什么是准入控制器?就是 API 请求进来后,准许它进入或者丰富进来的 API 请求的控制器。如图所示,MutatingAdmissionWebhook 和 ValidatingAdmissi...

MySQL Group Replication(二)监控篇

MySQL Group Replication(二)监控篇

说明组复制搭建成功后,为保证其正常运行,用户需要对组复制进行监控。MySQL 的 performance_schema 库中提供一些表,用于监控组复制的复制过程。[performance_schema...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。