Cette page explique comment Dataproc Metastore est compatible avec le protocole Kerberos.
Kerberos est un protocole d'authentification réseau conçu pour fournir une authentification forte aux applications client et serveur grâce à la cryptographie à clé secrète. Il est couramment utilisé dans la pile Hadoop pour l'authentification sur l'ensemble de l'écosystème logiciel.
Vous pouvez configurer Kerberos sur les services Dataproc Metastore suivants :
- Un service Dataproc Metastore qui utilise le protocole de point de terminaison Thrift.
- Un service Dataproc Metastore qui utilise le point de terminaison gRPC protocole.
Le processus de configuration de Kerberos est différent pour chaque type de service.
Éléments Kerberos requis
La section suivante fournit des informations générales sur les éléments Kerberos dont vous avez besoin pour configurer Kerberos pour un service Dataproc Metastore.
KDC Kerberos
Un KDC Kerberos est requis. Vous pouvez utiliser le KDC local d'un cluster Managed Service pour Apache Spark ou créer et héberger le vôtre.
Principal Kerberos
Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez votre fichier principal à l'aide d'un cluster Managed Service pour Apache Spark.
Fichier Keytab
Un fichier keytab contient des paires de principaux Kerberos et de clés chiffrées, qui permettent d'authentifier un compte principal de service à l'aide d'un KDC Kerberos.
Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez votre fichier keytab à l'aide d'un cluster Managed Service pour Apache Spark.
Le fichier keytab généré contient le nom et l'emplacement de votre compte principal de service de métastore Hive.
Le fichier keytab généré est automatiquement stocké dans un Google Cloud Secret Manager.
Le secret fourni par Secret Manager doit être épinglé à une version spécifique du secret. Vous devez spécifier la version du secret que vous souhaitez utiliser. Dataproc Metastore ne sélectionne pas automatiquement la dernière version.
Fichier krb5.conf
Un fichier krb5.conf valide contient des informations de configuration Kerberos, telles que l'adresse IP KDC, le port et le nom de domaine.
Lorsque vous configurez Kerberos pour un service Dataproc Metastore, vous générez votre fichier keytab à l'aide d'un cluster Managed Service pour Apache Spark.
- Lorsque vous configurez le fichier
krb5.conf, spécifiez l'adresse IP KDC accessible depuis votre réseau appairé. Ne spécifiez pas le nom de domaine complet KDC. - Si vous utilisez le point de terminaison Thrift, vous devez stocker le fichier dans un bucket Cloud Storage. Vous pouvez utiliser un bucket existant ou en créer un.
Étape suivante
- Créez un service Dataproc Metastore qui utilise le protocole de point de terminaison Thrift.
- Créez un service Dataproc Metastore qui utilise le protocole de point de terminaison gRPC.