配置跨集群互信

南墨2年前技术文章764

1.源集群修改项

创建跨域krbtgt Principal

进入kadmin命令行,执行以下2条命令:(如有加密算法需要添加加密算法部分)

addprinc krbtgt/源集群realm@目标集群realm                  

addprinc krbtgt/目标集群realm@源集群realm                  

设置密码:xxxxxx

注:此密码需与目标集群创建该principal密码设置为同一个

2.目标集群修改项

适配/etc/hosts

修改目标所有节点/etc/hosts文件,增加源集群节点的映射关系

10.159.164.61 tst-su01-01

10.159.164.62 tst-su01-02

10.159.164.63 tst-su01-03

10.159.164.205 tst-ka05 HNTest01KDC

10.159.164.206 tst-ka06 HNTest01KDC

10.159.164.207 tst-ka07 HNTest01KDC

10.159.164.208 tst-ka08 HNTest01KDC

修改Yarn和HDFS的hadoop.rpc.protection

保证源集群hadoop.rpc.protection(core-site.xml中)的属性值与目标集群的一致,由于源集群有业务运行,因此修改目标集群配置,修改后重启集群

配置值:authentication privacy integrity

在core-site中配置principal和user的映射RULES

(注意:修改该服务端参数需要重启HDFS)

修改HDFS的core-site.xml文件的hadoop.security.auth_to_local属性:

增加红色部分:

<property>

  <name>hadoop.security.auth_to_local</name>

  <value>

    RULE:[1:$1@$0](^.*@HADOOP\.COM$)s/^(.*)@HADOOP\.COM$/$1/g

       RULE:[2:$1@$0](^.*@HADOOP\.COM$)s/^(.*)@HADOOP\.COM$/$1/g

       DEFAULT

       </value>

</property>

以上规则的作用:

规则1用于将HADOOP.COM域里不包含主机名的Principal映射为短名称。例如:aaa@HADOOP.COM => aaa

规则2用于将HADOOP.COM域里包含主机名的Principal映射为短名称。例如:hdfs /fully-qualified-domain-name@HADOOP.COM => hdfs

在krb5.conf中配置信任关系

在两个集群的节点的/etc/krb5.conf文件配置domain和realm的映射关系,例如:

在目标Cluster中配置:

 [capaths]

       目标集群realm = {

              源集群realm = .

       }

配置成'.'是表示没有intermediate realms

配置realms

为了是目标集群(IDC)可以访问源集群(HADOOP)的KDC,需要将源集群(HADOOP)的KDC Server配置到目标集群(IDC)中,如下:

 [realms]

  IDC.COM = {

    kdc = {host}.IDC.COM:88

    admin_server = {host}.IDC.COM:749

    default_domain = IDC.COM

  }

  HADOOP.COM = {

    kdc = {host}.HADOOP.COM:88

    admin_server = {host}.HADOOP.COM:749

    default_domain = HADOOP.COM

  }

创建跨域 krbtgt Principal

进入kadmin命令行:

Kadmin –p kadmin/admin

输入kadmin密码,执行以下命令:

addprinc -e "aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal"  krbtgt/源集群realm@目标集群realm 

addprinc -e "aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal"  krbtgt/目标集群realm@源集群realm

提示设置密码时,需设置与2.2.1章节源集群相同的密码

配置domain_realm

在domain_realm中,一般配置成'.IDC.COM'和'IDC.COM'的格式,'.'前缀保证kerberos将所有的IDC.COM的主机均映射到IDC.COM realm。但是如果集群中的主机名不是以IDC.COM为后缀的格式,那么需要在domain_realm中配置主机与realm的映射关系,例IDC.nn.local映射为IDC.COM,需要增加IDC.nn.local = IDC.COM。

[domain_realm]                       

.hadoop.com=HADOOP.COM           

 hadoop.com=HADOOP.COM          

 .IDC.com=IDC.COM                  

 IDC.com=IDC.COM                   

重启kerberos服务

其他

若存在加密算法,需要在krb5.conf的[realms]中添加supported_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5


相关文章

MapReduce生产经验

MapReduce程序效率的瓶颈在于两点:1)计算机性能(1)CPU、内存、磁盘、网络2)I/O操作优化(1)数据倾斜(2)Map运行时间太长,导致Reduce等待过久(3)小文件过多下来就根据这两点...

开源大数据集群部署(十三)Ranger 集成Trino

开源大数据集群部署(十三)Ranger 集成Trino

1、安装ranger trino插件在trino的coordinator节点部署Ø 解压ranger-2.3.0-trino-plugin.tar.gz[root@hd2.dtstack.com ]#...

Solr常用API详细操作

Solr常用API详细操作

1. 监督集群的状态和统计返回监督器(overseer)的当前状态,各种监督器API的性能统计信息以及每种操作类型的最近10次故障/admin/collections?action=OVERSEERS...

flink获取taskmanager的pstree信息

flink获取taskmanager的pstree信息

使用pstree –p 进程号 的方式能够获取taskmanager的pstree信息,这个地方提供一个收集脚本。内容如下:#!/bin/bashsearchPID() {   l...

PG的analyze与vacuum

analyze-统计信息用于收集表的统计信息,只会对表加读锁,不影响表上其它SQL并发执行,对于大表只会读取表中部分数据 vacuum-碎片回收标记旧版本行的信息为可用,以重复使用这部分空间 更新统计...

静默安装oracle软件参数文件解析

文件位置在oracle软件解压目录下的database/response/db_install.rsp,主要参数解析如下########################################...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。