Questa pagina descrive in che modo Dataproc Metastore supporta il protocollo Kerberos.
Kerberos è un protocollo di autenticazione di rete progettato per fornire un'autenticazione efficace per le applicazioni client e server utilizzando la crittografia con chiave secret. Viene comunemente utilizzato nello stack Hadoop per l'autenticazione in tutto l'ecosistema software.
Puoi configurare Kerberos sui seguenti servizi Dataproc Metastore:
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.
La procedura per configurare Kerberos è diversa per ogni tipo di servizio.
Asset Kerberos richiesti
La sezione seguente fornisce informazioni generali sugli asset Kerberos necessari per configurare Kerberos per un servizio Dataproc Metastore.
KDC Kerberos
È necessario un KDC Kerberos. Puoi utilizzare il KDC locale di un cluster Managed Service for Apache Spark o crearne e ospitarne uno tuo.
Entità Kerberos
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file dell'entità utilizzando un cluster Managed Service for Apache Spark.
File keytab
Un file keytab contiene coppie di entità Kerberos e chiavi criptate, che vengono utilizzate per autenticare un'entità servizio con un KDC Kerberos.
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file keytab utilizzando un cluster Managed Service for Apache Spark.
Il file keytab generato contiene il nome e la posizione dell'entità servizio metastore Hive.
Il file keytab generato viene archiviato automaticamente in un Google Cloud Secret Manager.
Il secret di Secret Manager fornito deve essere associato a una versione specifica del secret. Devi specificare la versione del secret che vuoi utilizzare. Dataproc Metastore non seleziona automaticamente l'ultima versione.
File krb5.conf
Un file krb5.conf valido contiene informazioni di configurazione di Kerberos, come l'IP, la porta e il nome del realm del KDC.
Quando configuri Kerberos per un servizio Dataproc Metastore, generi il file keytab utilizzando un cluster Managed Service for Apache Spark.
- Quando configuri il file
krb5.conf, specifica l'IP del KDC accessibile dalla rete con peering. Non specificare il nome di dominio completo del KDC. - Se utilizzi l'endpoint Thrift, devi archiviare il file in un bucket Cloud Storage. Puoi utilizzare un bucket esistente o crearne uno nuovo.
Passaggi successivi
- Crea un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint Thrift.
- Crea un servizio Dataproc Metastore che utilizza il protocollo dell'endpoint gRPC.