51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

解析Hadoop 的集群管理与安全机制

作者:翼宇轩
云计算 云安全 Hadoop
当前大一点的公司都采用了共享Hadoop集群的模式,这种模式可以减小维护成本,且避免数据过度冗余,增加硬件成本。共享集群类似于云计算或者云存储,面临的一个最大问题是安全。本文就对Hadoop 的集群管理与安全机制进行讲解。

HDFS数据管理

1、设置元数据与数据的存储路径,通过

dfs.name.dir,dfs.data.dir,fs.checkpoint.dir(hadoop1.x)、

hadoop.tmp.dir,dfs.namenode.name.dir,dfs.namenode.edits.dir,dfs.datanode.data.dir(hadoop2.x)等属性来设置;

2、经常执行HDFS文件系统检查工具FSCK,eg:hdfs fsck /liguodong -files -blocks;

 

  1. [root@slave1 mapreduce]# hdfs fsck /input 
  2. Connecting to namenode via http://slave1:50070 
  3. FSCK started by root (auth:SIMPLE) from /172.23.253.22 for path /input at Tue Jun 16 21:29:21 CST 2015 
  4. .Status: HEALTHY 
  5.  Total size:    80 B 
  6.  Total dirs:    0 
  7.  Total files:   1 
  8.  Total symlinks:                0 
  9.  Total blocks (validated):      1 (avg. block size 80 B) 
  10.  Minimally replicated blocks:   1 (100.0 %) 
  11.  Over-replicated blocks:        0 (0.0 %) 
  12.  Under-replicated blocks:       0 (0.0 %) 
  13.  Mis-replicated blocks:         0 (0.0 %) 
  14.  Default replication factor:    1 
  15.  Average block replication:     1.0 
  16.  Corrupt blocks:                0 
  17.  Missing replicas:              0 (0.0 %) 
  18.  Number of data-nodes:          1 
  19.  Number of racks:               1 
  20. FSCK ended at Tue Jun 16 21:29:21 CST 2015 in 1 milliseconds 
  21.  
  22. The filesystem under path '/input' is HEALTHY 

 

3、一旦数据发生异常,可以设置NameNode为安全模式,这时NameNode为只读模式;

操作命令:hdfs dfsadmin -safemode enter | leave | get | wait

 

  1. [root@slave1 mapreduce]# hdfs dfsadmin -report 
  2. Configured Capacity: 52844687360 (49.22 GB) 
  3. Present Capacity: 45767090176 (42.62 GB) 
  4. DFS Remaining: 45766246400 (42.62 GB) 
  5. DFS Used: 843776 (824 KB) 
  6. DFS Used%: 0.00
  7. Under replicated blocks: 0 
  8. Blocks with corrupt replicas: 0 
  9. Missing blocks: 0 
  10.  
  11. ------------------------------------------------- 
  12. Datanodes available: 1 (1 total, 0 dead) 
  13.  
  14. Live datanodes: 
  15. Name: 172.23.253.22:50010 (slave1) 
  16. Hostname: slave1 
  17. Decommission Status : Normal 
  18. Configured Capacity: 52844687360 (49.22 GB) 
  19. DFS Used: 843776 (824 KB) 
  20. Non DFS Used: 7077597184 (6.59 GB) 
  21. DFS Remaining: 45766246400 (42.62 GB) 
  22. DFS Used%: 0.00
  23. DFS Remaining%: 86.61
  24. Last contact: Tue Jun 16 21:27:17 CST 2015 
  25.  
  26. [root@slave1 mapreduce]# hdfs dfsadmin -safemode get 
  27. Safe mode is OFF 

 

4、每一个DataNode都会运行一个数据扫描线程,它可以检测并通过修复命令来修复坏块或丢失的数据块,通过属性设置扫描周期;

dfs.datanode.scan.period.hourses, 默认是504小时。

MapReduce作业管理

查看Job信息:mapred job -list;

杀死Job:mapred job -kill;

查看指定路径下的历史日志汇总:mapred job -history output-dir;

打印map和reduce完成的百分比和所有计数器:mapred job -status job_id;

 

  1. [root@slave1 mapreduce]# mapred job 
  2. Usage: CLI <command> <args> 
  3.         [-submit <job-file>] 
  4.         [-status <job-id>] 
  5.         [-counter <job-id> <group-name> <counter-name>] 
  6.         [-kill <job-id>] 
  7.         [-set-priority <job-id> <priority>]. Valid values for priorities are: VERY_HIGH HIGH NORMAL LOW VERY_LOW 
  8.         [-events <job-id> <from-event-#> <#-of-events>] 
  9.         [-history <jobHistoryFile>] 
  10.         [-list [all]] 
  11.         [-list-active-trackers] 
  12.         [-list-blacklisted-trackers] 
  13.         [-list-attempt-ids <job-id> <task-type> <task-state>]. Valid values for <task-type> are REDUCE MAP. Valid values for <task-state> are running, completed 
  14.         [-kill-task <task-attempt-id>] 
  15.         [-fail-task <task-attempt-id>] 
  16.         [-logs <job-id> <task-attempt-id>] 
  17.  
  18. Generic options supported are 
  19. -conf <configuration file>     specify an application configuration file 
  20. -D <property=value>            use value for given property 
  21. -fs <local|namenode:port>      specify a namenode 
  22. -jt <local|jobtracker:port>    specify a job tracker 
  23. -files <comma separated list of files>    specify comma separated files to be copied to the map reduce cluster 
  24. -libjars <comma separated list of jars>    specify comma separated jar files to include in the classpath. 
  25. -archives <comma separated list of archives>    specify comma separated archives to be unarchived on the compute machines. 
  26.  
  27.  
  28. [root@slave1 mapreduce]# mapred job -list 
  29. 15/06/16 21:33:25 INFO client.RMProxy: Connecting to ResourceManager at /0.0.0.0:8032 
  30. Total jobs:0 
  31. JobId  State  StartTime  UserName  Queue  Priority  UsedContainers  RsvdContainers  UsedMem RsvdMem    NeededMem    AM info 

 

#p#

Hadoop集群安全

Hadoop自带两种安全机制:Simple机制、Kerberos机制

1、Simple机制:

Simple机制是JAAS协议与delegation token结合的一种机制,JAAS(Java Authentication and Authorization Service)java认证与授权服务;

(1)用户提交作业时,JobTracker端要进行身份核实,先是验证到底是不是这个人,即通过检查执行当前代码的人与JobConf中的user.name中的用户是否一致;

(2)然后检查ACL(Access Control List)配置文件(由管理员配置)看你是否有提交作业的权限。一旦你通过验证,会获取HDFS或者mapreduce授予的delegation token(访问不同模块有不同的delegation token),之后的任何操作,比如访问文件,均要检查该token是否存在,且使用者跟之前注册使用该token的人是否一致。

2、Kerberos机制:

Kerberos机制是基于认证服务器的一种方式;

 

Princal(安全个体):被认证的个体,有一个名字和口令;

KDC(key distribution center):是一个网络服务,提供ticket和临时会话密钥;

Ticket:一个记录,客户用它来向服务器证明自己的身份,包括客户标识、会话密钥、时间戳;

AS(Authentication Server):认证服务器;

TSG(Ticket Granting Server):许可认证服务器;

 

[[137086]]

(1)Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC,

KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。

然后KDC将这个Session Key和用户名,用户地址(IP),服务名,有效期, 时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service,

不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service,所以有了第二步。

(2)此时KDC将刚才的Ticket转发给Client。

由于这个Ticket是要给Service的,不能让Client看到,所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。

同时为了让Client和Service之间共享那个密钥(KDC在***步为它们创建的Session Key),

KDC用Client与它之间的密钥将Session Key加密随加密的Ticket一起返回给Client。

(3)为了完成Ticket的传递,Client将刚才收到的Ticket转发到Service。

由于Client不知道KDC与Service之间的密钥,所以它无法算改Ticket中的信息。

同时Client将收到的Session Key解密出来,然后将自己的用户名,用户地址(IP)打包成Authenticator用Session Key加密也发送给Service。

(4)Service 收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来,从而获得Session Key和用户名,用户地址(IP),服务名,有效期。

然后再用Session Key将Authenticator解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较从而验证Client的身份。

(5)如果Service有返回结果,将其返回给Client。

#p#

Hadoop集群内部使用Kerberos进行认证

 

[[137087]]

好处:

可靠:Hadoop本身并没有认证功能和创建用户组功能,使用依靠外围的认证系统;

高效:Kerberos使用对称钥匙操作,比SSL的公共密钥快;

操作简单:用户可以方便进行操作,不需要很复杂的指令。比如废除一个用户只需要从Kerbores的KDC数据库中删除即可。

HDFS安全

1、Client获取namenode初始访问认证(使用kerberos)后,会获取一个delegation token,这个token可以作为接下来访问HDFS或提交作业的凭证;

2、同样为了读取某个文件,Client首先要与namenode交互,获取对应block的block access token,

然后到相应的datanode上读取各个block ,

而datanode在初始启动向namenode注册时候,已经提前获取了这些token,

当client要从TaskTracker上读取block时,首先验证token,通过才允许读取。

MapReduce安全

1、所有关于作业的提交或者作业运行状态的追踪均是采用带有Kerberos认证的RPC实现的。

授权用户提交作业时,JobTracker会为之生成一个delegation token,该token将被作为job的一部分存储到HDFS上并通过RPC分发给各个TaskTracker,一旦job运行结束,该token失效。

2、用户提交作业的每个task均是以用户身份启动的,这样一个用户的task便不可以向TaskTracker或者其他用户的task发送操作系统信号,给其他用户造成干扰。这要求为每个用户在所有的TaskTracker上建一个账号;

3、当一个map task运行结束时,它要将计算结果告诉管理它的TaskTracker,之后每个reduce task会通过HTTP向该TaskTracker请求自己要处理的那块数据,Hadoop应该确保其他用户不可以获取map task的中间结果,

其执行过程是:reduce task对“请求URL”和“当前时间”计算HMAC-SHA1值,并将该值作为请求的一部分发动给TaskTracker,TaskTracker收到后会验证该值的正确性。

博文出处:http://blog.csdn.net/scgaliguodong123_/article/details/46523569

责任编辑:Ophira 来源: 个人博客
Hadoop集群管理安全机制
相关推荐
Kubernetes 集群安全机制详解
本文主要介绍Kubernetes的安全机制,如何使用一系列概念、技术点、机制确保集群的访问是安全的,涉及到的关键词有:apiserver,认证,授权,准入控制,RBAC,ServiceAccount,客户端证书认证,Kubernetes用户,Token认证等等。

2020-04-02 15:10:57

Kubernetes集群安全
Hadoop集群Hadoop性能优化
本文讲解一下Hadoop集群、Hadoop性能优化、Hadoop机架感知实现、Hadoop配置等,下面是有关这些命令的具体介绍。

2010-05-24 14:59:29

Hadoop集群
Hadoop核心机制详细解析
Hadoop的核心机制是通过HDFS文件系统和MapReduce算法进行存储资源、内存和程序的有效利用与管理。在现实的实例中,通过Hadoop,可以轻易的将多台普通的或低性能的服务器组合成分布式的运算存储集群,提供大数据量的存储和处理能力。

2012-07-03 10:57:54

Hadoop核心机制
对IIS安全机制深入解析
本文主要描述的是IIS安全机制,以及对在实际操作中遇到取消Web的匿名访问服务的这一情况的具体解决方法,以下就是文章的主要内容讲述。

2010-10-08 10:42:30

Hadoop 集群管理新“绝招”
做一个应用程序性能管理系统是一回事——而做一个可以动态地优化系统的实时控制器是另外一码事。

2016-02-24 09:38:25

Hadoop集群管理大数据技术
Apache Hadoop集群安全性架构
虽然基于现有的基础设施或定制的内部监控程序不同,使用的工具也可能有所不同。但是对于依靠Hadoop业务运营的公司来说,部署必不可少的“警卫”和检查,进而来保护Hadoop节点的安全性都是至关重要的。以下的10个组件应该作为部署ApacheHadoop安全性架构的讨论指南。

2013-01-29 10:20:06

MapReduceHadoop架构
Hadoop集群内lzo安装配置
为了配合部门hadoop平台测试,作者详细的介绍了如何在Hadoop平台下安装lzo所需要软件包:gcc、ant、lzo、lzo编码解码器并配置lzo的文件:coresite.xml、mapredsite.xml。希望对大家有所帮助。

2011-04-21 10:05:35

Hadoop集群lzo
解析WLAN网络安全机制分析
WLAN使用WEP、WPA和WAPI三种通信协议保障通信安全。下面本文就来分别为大家介绍三种通信协议。希望大家能够理解。

2011-05-20 14:23:59

WLANWEPWPA
深入解析MongoDB安全:访问控制权限管理
MongoDB提供了多种安全特性和授权机制,以保护数据库的安全性和完整性。了解和应用这些特性和最佳实践可以帮助确保MongoDB实例的安全性。

2023-08-07 08:13:41

浅谈ICT供应链安全风险管理应对机制
为了保障ICT供应链安全,国家市场监督管理总局和中国国家标准化管理委员会发布了GBT366372018《信息安全技术ICT供应链安全风险管理指南》(以下简称《指南》),来规范关键信息基础设施和重要信息系统供应链安全风险管理。

2024-01-16 14:32:23

手机密码管理:存在隐患安全机制
根据知名科技博客TechCrunch报道,2012年丢失和被盗手机将给消费者造成数十亿美元的损失。这篇文章主要集中报道重置成本方面,是我非常想要了解的。但是,我更加关注手机上所存储的数据——例如,密码。

2012-10-23 16:20:20

解析JVM内存管理机制几个概念
这里向大家描述一下JVM内存管理机制的几个概念,主要有堆和非堆内存以及JVM内存限制等内容,希望本文的介绍对你的学习有所帮助。

2010-09-27 13:26:31

JVM内存管理机制
PostgreSQL 空闲数据块管理机制解析
本文将继续对vacuum命令做介绍,并以此引出PostgreSQL空闲数据块的产生,然后对空闲数据块管理机制的原理做解析。

2017-08-17 17:09:28

PostgreSQL 数据块机制
Swift内存管理机制深度解析
作为一种现代化高级编程语言,Swift为您的应用程序中的分配、释放等内存管理需求提供强有力的支持。它使用的是一种称为自动化引用计数(ARC)的技术。通过本文的学习,你将通过以下内容进一步提升你的Swift开发中的ARC编程水平。

2016-10-09 14:41:40

Swift开发ARC
物联网安全:摄像头安全隐私机制
物联网摄像头为了方便管理员远程监控,一般会有公网IP(或端口映射)接入互联网。因此,许多暴露在互联网上的摄像头也成了黑客的目标。2016年10月发生在美国的大面积断网事件,导致美国东海岸地区大面积网络瘫痪,其原因为美国域名解析服务提供公司Dyn当天受到了强力的DDoS攻击。

2020-12-01 13:08:21

物联网物联网安全
解析802.1x网络安全机制
作为管理员,你应当理解IEEE802.1x标准是什么以及关注它的原因,这意味着理解三个独立的概念:PPP、EAP和802.1X自身。

2010-09-26 08:46:08

802.1x
IPv6安全机制基础理论解析
本文对IPv6安全机制进行了分析,通过IPv6协议安全、IPv6网络安全以及IPv6安全机制其他保障三个方面进行了介绍。

2010-05-24 14:57:26

功能安全机制:内存分区实现
可以使用内存分区机制在系统和软件级别上实现各种技术安全概念。

2022-10-08 10:10:58

内存技术安全
Hadoop集群搭建
本文主要像大家介绍有关Hadoop集群搭建,从配置环境到简单的命令启动一一进行了讲解。希望对于想接触hadoop的你有所帮助。

2011-12-07 16:11:50

Hadoop集群搭建
Hadoop 集群搭建
VirtualBox的虚拟机有多种网络配置模式,包括:桥接、网络地址转换(NAT)、NAT、仅主机等。

2016-10-27 09:37:10

Hadoop集群配置
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服