开源大数据集群部署(十六)Hadoop集群部署(一)

櫰木2年前技术文章771

按照上文中hadoop集群规划进行安装。

1 HADOOP集群安装

hd1.dtstack.com主机root权限下安装hadoop集群

Ø 解压

[root@hd1.dtstack.com software]# tar -zvxf hadoop-3.2.4.tar.gz -C /opt/
[root@hd1.dtstack.com software]# chown -R hdfs:hadoop /opt/hadoop-3.2.4
[root@hd1.dtstack.com software]# ln -s /opt/hadoop-3.2.4 /opt/hadoop


2 HADOOP Kerberos主体

服务

所在主机

主体格式(Principal)

keytab文件

NameNode

hd1.dtstack.comhd2.dtstack.com

hdfs/_HOST@DTSTACK.COM

/etc/security/keytab/hdfs..keytab

DataNode

hd3.dtstack.comhadoop04、hadoop05

hdfs/_HOST@DTSTACK.COM

/etc/security/keytab/hdfs..keytab

JournalNode

hd1.dtstack.comhd2.dtstack.comhd3.dtstack.com

hdfs/_HOST@DTSTACK.COM

/etc/security/keytab/hdfs.keytab

Web UI

hd1.dtstack.comhd2.dtstack.comhd3.dtstack.com

HTTP/_HOST@DTSTACK.COM

/etc/security/keytab/hdfs.keytab

JobHistory Server

hd1.dtstack.comhd2.dtstack.com

yarn/_HOST@DTSTACK.COM

/etc/security/keytab/yarn..keytab

ResourceManager

hd1.dtstack.comhd2.dtstack.com

yarn/_HOST@DTSTACK.COM

/etc/security/keytab/yarn.service.keytab

NodeManager

hd3.dtstack.com

yarn/_HOST@DTSTACK.COM

/etc/security/keytab/yarn..keytab

说明:

ü 创建主体命令见上面kerberos票据创建

ü _HOST表示配置文件变量,在实际使用过程会自动替换成主机名,如hd1.dtstack.com

ü Keytab文件名每台主机文件名一样,但文件内容不一样,主要区别是主机名

ü Keytab文件创建完成后分发到对应主机,且权限修改成600,权限修改命令如下:

   chown -R root:hadoop /etc/security/keytab/
   chmod 660 /etc/security/keytab/*


按照kerberos票据创建进行票据主体创建和keytab文件创建以及分发到对应主机目录上

生成keytab文件

bash /root/bigdata/getkeytabs.sh /etc/security/keytab/hdfs.keytab  hdfs
由于页面需要http的principal,给hdfs的keytab添加httpprincipal
bash /root/bigdata/getkeytabs.sh /etc/security/keytab/hdfs.keytab  HTTP
bash /root/bigdata/getkeytabs.sh /etc/security/keytab/yarn.keytab  yarn
bash /root/bigdata/getkeytabs.sh /etc/security/keytab/yarn.keytab  HTTP


3、 HDFS使HTTPS安全传输协议配置

hd1.dtstack.com主机root权限下执行

Ø 添加生成脚本

[root@hd1.dtstack.com hadoop]# cd /opt/hadoop/
[root@hd1.dtstack.com hadoop]# cd bin/ && vi on.sh
#!/bin/bash
 
path1=/opt/hadoop/bin
hosts="hd1.dtstack.com hd3.dtstack.com hd2.dtstack.com"
echo "===========begine install ca ==========="
sh $path1/ca_install.sh
echo "===========finish install ca ==========="
 
echo "===========begine install https ==========="
for host in $hosts
do
  ssh -t $host "$path1/keystore.sh"
  done
echo "===========finish install https ==========="
 
添加ca脚本
vi ca_install.sh
#! /bin/bash
 
path=/data/kerberos/hdfs_ca
#集群中安装https
hostnamess="hd1.dtstack.com hd3.dtstack.com hd2.dtstack.com"
passwords=abc123
hostname1=`hostname`
#ca证书创建,只需要在一个节点上创建
function make_CA(){
        hostnames=$hostnamess
        password=$passwords
        echo 'make_CA begin ...'
        cd $path
        #删除之前可能产生的过期CA证书
        rm -rf $path/hdfs_ca*
 
        #其中一台上生成CA,密码全部为abc123
        /usr/bin/expect <<-EOF
                set timeout 10
                spawn openssl req -new -x509 -keyout hdfs_ca_key -out hdfs_ca_cert -days 9999 -subj /C=CN/ST=zhejiang/L=hangzhou/O=dtstack/OU=dtstack/CN=$hostname1
                expect {
                                "*phrase*" {send "$password\r"; exp_continue}
 
                               "*phrase*" { send "$password\r"; exp_continue}
                        }
EOF
 
        #将生成的CA证书hdfs_ca_key、hdfs_ca_cert分发到其他节点上
        for host in $hostnames;
        do
                echo "copy hadoop CA to $host:$path"
                ssh root@$host "mkdir -p /data/kerberos/hdfs_ca"
                scp hdfs_ca_* $host:$path
        done
        #rm -rf hdfs_ca*
        echo 'make_CA end ...'
}
 
 
make_CA
添加keystore脚本
vi keystore.sh
#! /bin/bash
path=/data/kerberos/hdfs_ca
#集群中安装https keystore
hostnamess="hadoop01.dtstack.com hadoop03.dtstack.com hadoop02.dtstack.com"
passwords=abc123
current_hostnames="`hostname`"
export.UTF-8
function make_certificate(){
        current_hostname=$current_hostnames
        password=$passwords
 
        cd $path
        #keytool需要使用java环境
        source /etc/profile
 
        #生成keystore
        #name="CN=$current_hostname, OU=dtstack, O=dtstack, L=hangzhou, ST=zhejiang, C=CN"
        /usr/bin/expect <<-EOF
                spawn keytool -keystore keystore -alias localhost -validity 9999 -genkey -keyalg RSA -keysize 2048 -dname "CN=$current_hostname, OU=dtstack, O=dtstack, L=hangzhou, ST=zhejiang, C=CN"
                expect {
                        "*password*" {send "$password\r"; exp_continue}
                        "*password*" {send "$password\r"; exp_continue}
                        "*password*" {send "$password\r"; exp_continue}
                        "*password*" {send "$password\r"; exp_continue}
                }
EOF
 
        #添加CA到truststore
        /usr/bin/expect <<-EOF
                spawn keytool -keystore truststore -alias CARoot -import -file hdfs_ca_cert
                expect {
                        "*password*" {send "$password\r"; exp_continue}
                        "*password*" {send "$password\r"; exp_continue}
                        "*certificate*" {send "yes\r"; exp_continue}
                }
EOF
 
        #从keystore中导出cert
        /usr/bin/expect <<-EOF
                spawn keytool -certreq -alias localhost -keystore keystore -file cert
                expect {
                        "*password*" {send "$password\r"; exp_continue}
                }
EOF
 
        #用CA对cert签名
        /usr/bin/expect <<-EOF
                spawn openssl x509 -req -CA hdfs_ca_cert -CAkey hdfs_ca_key -in cert -out cert_signed -days 9999 -CAcreateserial
                expect {
                        "*phrase*" {send "$password\r"; exp_continue}
                }
EOF
 
        #将CA的cert和用CA签名之后的cert导入keystore
        /usr/bin/expect <<-EOF
                spawn keytool -keystore keystore -alias CARoot -import -file hdfs_ca_cert
                expect {
                        "*password*" {send "$password\r"; exp_continue}
                        "*certificate*" {send "yes\r"; exp_continue}
                }
EOF
 
        /usr/bin/expect <<-EOF
                spawn keytool -keystore keystore -alias localhost -import -file cert_signed
                expect {
                        "*password*" {send "$password\r"; exp_continue}
                }
EOF
 
        #将最终keystore,trustores放入合适的目录,并加上后缀jks
        #rm -rf /etc/security/https && mkdir -p /etc/security/https
        #chmod 755 /etc/security/https
        echo "install keystore、truststore to /data/kerberos/hdfs_ca/..."
        cp $path/keystore $path/keystore.jks
        cp $path/truststore $path/truststore.jks
}
 
        echo "[+] execute hlk_each_host_install_https.sh begin ..."
        echo "hostnames:$hostnames"
        echo "current_hostname:$current_hostname"
        #每个节点获取CA证书签照
        make_certificate
        echo "[+] execute hlk_each_host_install_https.sh end ..."
将脚本分发到每个节点的/opt/hadoop/bin/目录下,同时修改脚本权限

3 生成对应https证书(只需要在一个节点执行即可)

mkdir -p /data/kerberos/hdfs_ca
cd /opt/hadoop/bin/
bash on.sh



相关文章

数据湖技术之iceberg(三)Iceberg数据存储格式

数据湖技术之iceberg(三)Iceberg数据存储格式

1  Iceberg数据存储格式1.1.  Iceberg术语l   data files(数据文件):数据文件是Apache Iceberg表真实存储数据的文...

mysql表结构对比工具

mysql表结构对比工具

一、AmpNmp.DatabaseCompare工具1、工具特点:优点:比较两个数据库全部表结构的差异,包括表名、存储引擎、字符集、注释的不同,以及每张表中的字段名、数据类型、字符集、默认值、注释的不...

 MySQL运维实战(1.3)安装部署:源码编译安装

MySQL运维实战(1.3)安装部署:源码编译安装

源码编译安装通常不需要自己编译mysql源码,编译的mysql和二进制包的内容基本一致。当然有些时候可能会需要采用源码编译的方式安装,安装一些非标准版本的mysql安装一些社区的patch、bugfi...

Kubernetes安全--基于sa和user的rbac认证机制

前言Kubernetes中的用户K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User)ServiceAccount是由K8S管理的,而User通常是在...

kubernetes调度和调度器

一、Kubernetes调度Scheduler 是 kubernetes 的调度器,主要的任务是把定义的 pod 分配到集群的节点上。听起来非常简单,但有很多要考虑的问题:公平:如何保证每个节点都能被...

CDH配置impala自动同步HMS元数据

CDH配置impala自动同步HMS元数据

1、进入CM界面 > Hive > 配置 > 搜索 启用数据库中的存储通知(英文界面搜索:Enable Stored Notifications in Database),并且勾选,...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。