Auf dieser Seite wird beschrieben, wie Dataproc Metastore das Kerberos-Protokoll unterstützt.
Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das für eine starke Authentifizierung für Client- und Serveranwendungen unter Verwendung der Secret-Schlüssel-Kryptografie vorgesehen ist. Es wird häufig für die Authentifizierung in der gesamten Softwareumgebung verwendet.
Sie können Kerberos für die folgenden Dataproc Metastore-Dienste konfigurieren:
- Dataproc Metastore-Dienst, der das Thrift-Endpunkt protokoll verwendet
- Dataproc Metastore-Dienst, der das gRPC-Endpunkt protokoll verwendet
Die Konfiguration von Kerberos ist für jeden Diensttyp unterschiedlich.
Erforderliche Kerberos-Assets
Im folgenden Abschnitt finden Sie allgemeine Informationen zu den Kerberos-Assets, die Sie zum Konfigurieren von Kerberos für einen Dataproc Metastore-Dienst benötigen.
Kerberos-KDC
Ein Kerberos-KDC ist erforderlich. Sie können das lokale KDC eines Managed Service for Apache Spark-Clusters verwenden oder ein eigenes erstellen und hosten.
Kerberos-Prinzipal
Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Prinzipaldatei mit einem Managed Service for Apache Spark-Cluster.
Keytab-Datei
Eine Keytab-Datei enthält Paare aus Kerberos-Hauptkonten und verschlüsselten Schlüsseln, die verwendet werden, um ein Diensthauptkonto mit einem Kerberos-KDC zu authentifizieren.
Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Keytab-Datei mit einem Managed Service for Apache Spark-Cluster.
Die generierte Keytab-Datei enthält den Namen und den Speicherort des Hive-Metastore-Diensthauptkontos.
Die generierte Keytab-Datei wird automatisch in einem Google Cloud Secret Manager gespeichert.
Das bereitgestellte Secret Manager Secret muss an eine bestimmte Secret-Version angeheftet sein. Sie müssen die Secret-Version angeben, die Sie verwenden möchten. Dataproc Metastore wählt nicht automatisch die aktuelle Version aus.
Datei „krb5.conf“
Eine gültige krb5.conf-Datei enthält Kerberos-Konfigurationsinformationen wie die KDC-IP-Adresse, den Port und den Realm-Namen.
Wenn Sie Kerberos für einen Dataproc Metastore-Dienst konfigurieren, generieren Sie die Keytab-Datei mit einem Managed Service for Apache Spark-Cluster.
- Geben Sie beim Konfigurieren der Datei
krb5.confdie KDC-IP-Adresse an, die über Ihr Peering-Netzwerk zugänglich ist. Geben Sie den voll qualifizierten Domainnamen des KDC nicht an. - Wenn Sie den Thrift-Endpunkt verwenden, müssen Sie die Datei in einem Cloud Storage-Bucket speichern. Sie können einen vorhandenen Bucket verwenden oder einen neuen erstellen.
Nächste Schritte
- Dataproc Metastore-Dienst erstellen, der das Thrift-Endpunkt protokoll verwendet
- Dataproc Metastore-Dienst erstellen, der das gRPC-Endpunkt protokoll verwendet