Использование hive для управления данными кластера ES в сценарии Kerberos+ranger
Использование hive для управления данными кластера ES в сценарии Kerberos+ranger

фон

Используйте данные hivevernoES для выполнения дополнительных проверок и изменений.,Используйте Kerberos+ranger для завершения установки разных пользователей в разные таблицы.,Детальный контроль разрешений для столбцов.

Информация о версии

Версия кластера ES: 7.14.2

версия улья: 2.3.9

версия рейнджера: 2.1.0

Для доступа к кластеру hivevernoes требуется elasticsearch-hadoop.jar.

Кластер ES и версию elasticsearch-hadoop.jar, конечно, следует увидеть в приложении (в конце)

Тест соединения JDBC Hiveserver2

Создать обычного пользователя

Создайте нового пользователя es, создайте нового пользователя в веб-интерфейсе EMR, загрузите вкладку ключей и поместите ее в каталог пользователей es.

Выполняется пользователем root

Язык кода:javascript
копировать
kadmin.local -q "listprincs"

Посмотреть принципала

Получить билет KDC

После выполнения следующей команды вновь созданный пользователь es получает разрешения на аутентификацию Kerberos.

Язык кода:javascript
копировать
kinit -kt emr-4nkn6ozn-es.keytab es@EMR-4NKN6OZN

emr-4nkn6ozn-es.keytabОн загруженkeytabимя

Настройте рейнджер-hdfs

В это время соединение jdbc по-прежнему будет сообщать об ошибке. Причина в том, что у es нет разрешения на доступ к каталогу hdfs. Просто настройте политику на Ranger, чтобы предоставить разрешение на доступ.

(Здесь вы можете создать специальный каталог для внешних таблиц, например /user/es/, и все последующее создание внешних таблиц будет расположено здесь)

Если сообщается об ошибке, у пользователя es нет разрешений для локальных каталогов tmp и logs, просто дайте 777 разрешений.

Настроить рейнджер-улей

После подключения к hiveserver2 нет в рейнджереначальство Конфигурацияesбаза данных пользователей,разрешения таблицы,в это времяshow databasesТакже сообщит об ошибкеHiveAccessControlException Permission denied

Просто настройте разрешения для рейнджера.

Создайте внешнюю таблицу кластера ES.

Язык кода:javascript
копировать
add jar hdfs:///user/es/jars/elasticsearch-hadoop-hive-7.14.2.jar; 

create external table default.test (uid string, clientip string, request string, status string)
    STORED BY 'org.elasticsearch.hadoop.hive.EsStorageHandler'
    location '/user/es/test'
    TBLPROPERTIES('es.nodes' = 'ip',
            'es.port'='9200',
            'es.index.auto.create' = 'true',
            'es.resource' ='index_name',
            'es.net.http.auth.user'='elastic',
            'es.net.http.auth.pass'='password',
            'es.read.metadata' = 'true',
            'es.mapping.names' = 'uid:_metadata._id,clientip:clientip,request:request,status:status',
            'es.nodes.wan.only'='true',
            'es.index.read.missing.as.empty'='true',
            'es.input.use.sliced.partitions'='false',
            'es.input.max.docs.per.partition'='100000000'
);
select * from test limit 10;

Создайте тест внешней таблицы в базе данных по умолчанию и завершите его в каталоге /user/es/test. На этом этапе вы можете обычным образом запрашивать данные кластера ES.

Настроить рейнджер-пряжу

Введите планирование ресурсов пряжи, верный пул ресурсов для Конфигурация, и создайте новый пул ресурсов root.es под root.

Нажмите «Развернуть сейчас» в правом верхнем углу и используйте пряжу, чтобы обновить очередь.

иДобавьте новую политику в интерфейс пряжи рейнджера, чтобы предоставить пользователям es разрешение отправлять задачи в очередь root.es.

В противном случае будет сообщено об ошибке

Язык кода:javascript
копировать
Failed to submit application_1689561165556_0020 to YARN : Application application_1689561165556_0020 submitted by user es to unknown queue: root.es

ranger верно hive Детальная проверка разрешений для таблиц

использоватьhadoopПользователь инициировалhiveserver2В каталоге, на доступ к которому у пользователя es есть разрешения.учреждатьhadoopповерхность

Язык кода:javascript
копировать
create external table hadoop(id string, sex string) location '/user/es/hadoop';
insert into table hadoop values('0','man');

Настройте разрешения пользователя es в ranger для тестовой таблицы в базе данных по умолчанию.

Было обнаружено, что пользователь es не может прочитать таблицу Hadoop, как ожидалось.

Hive cli тест

рейнджер не может контролировать улей cliвернодругойповерхностьразрешения

Рейнджер может контролировать права доступа пользователей к hdfs,Невозможно завершить контроль над таблицей доступа к верному hive cli (если пользователю разрешен доступ к каталогу HDFS),Может ли улей отключить локальное выполнение скриптов

1. Сначала пользователь testhadoop обрабатывает данные кластера ES.

Язык кода:javascript
копировать
add jar hdfs:///user/es/jars/elasticsearch-hadoop-hive-7.14.2.jar; 

create external table default.test (uid string, clientip string, request string, status string)
    STORED BY 'org.elasticsearch.hadoop.hive.EsStorageHandler'
    location '/user/es/test'
    TBLPROPERTIES('es.nodes' = 'ip',
            'es.port'='9200',
            'es.index.auto.create' = 'true',
            'es.resource' ='index_name',
            'es.net.http.auth.user'='elastic',
            'es.net.http.auth.pass'='password',
            'es.read.metadata' = 'true',
            'es.mapping.names' = 'uid:_metadata._id,clientip:clientip,request:request,status:status',
            'es.nodes.wan.only'='true',
            'es.index.read.missing.as.empty'='true',
            'es.input.use.sliced.partitions'='false',
            'es.input.max.docs.per.partition'='100000000'
);
select * from test limit 10;

В обычных обстоятельствах пользователи Hadoop могут выполнить любую операцию с данными кластера TrueES в кусте.

Проблема: hive не может подключиться к кластеру ES, но порт 9200 можно пинговать.

Причина: Неверно настроены параметры имени пользователя и пароля и используются параметры прокси.

es.net.proxy.http.user

es.net.proxy.http.pass

Правильные параметры:

es.net.http.auth.user

es.net.http.auth.pass

2. Используйте рейнджер для детального контроля разрешений для новых пользователей.

Создайте нового пользователя es, создайте нового пользователя в веб-интерфейсе EMR, загрузите вкладку ключей и поместите ее в каталог пользователей es.

Выполняется пользователем rootСледующая команда

Язык кода:javascript
копировать
kadmin.local -q "listprincs"

Посмотреть принципала

После выполнения следующей команды вновь созданный пользователь es получает разрешения на аутентификацию Kerberos.

Язык кода:javascript
копировать
kinit -kt emr-4nkn6ozn-es.keytab es@EMR-4NKN6OZN

emr-4nkn6ozn-es.keytabОн загруженkeytabимя

Когда в это время запускается куст, по-прежнему будет сообщаться об ошибке. В частности, каталоги tmp и logs не имеют разрешений. Просто дайте разрешения 777 в соответствии с отчетом об ошибке.

После предоставления разрешения пользователь es не имеет авторизации рейнджера и не может получить доступ к каталогу hdfs, а куст не запускается.

Просто настройте стратегию в интерфейсе рейнджера.

Появится запрос:

Язык кода:javascript
копировать
hive> select * from tmp_es;
FAILED: RuntimeException org.apache.hadoop.hive.ql.metadata.HiveException: Error in loading storage handler.org.elasticsearch.hadoop.hive.EsStorageHandler

Причина этой ошибки в том, что нетelasticsearch-hadoop-hive-7.14.2.jar, еще нужно добавить банку

Если при добавлении jar вам будет предложено указать, что файл не существует, поскольку пользователь es не может получить доступ к файлу пользователя Hadoop, просто скопируйте пакет jar с пользователем es.

Повторите запрос и сообщите об ошибке, что нет разрешения на каталог hdfs:

Просто настройте разрешения в веб-интерфейсе рейнджера, и все последующие права доступа к HDFS будут такими.

Ошибка при вставке данных в таблицу:

Язык кода:javascript
копировать
java.io.IOException: org.apache.hadoop.yarn.exceptions.YarnException: Failed to submit application_1689561165556_0003 to YARN : org.apache.hadoop.security.AccessControlException: User es cannot submit applications to queue root.default

Введите планирование ресурсов пряжи, верный пул ресурсов для Конфигурация, и создайте новый пул ресурсов es под root.

Нажмите «Развернуть сейчас» в правом верхнем углу и используйте пряжу, чтобы обновить очередь.

иДобавьте новую политику в интерфейс пряжи рейнджера, чтобы предоставить пользователям es разрешение отправлять задачи в очередь root.es.

В противном случае будет сообщено об ошибке:

Язык кода:javascript
копировать
Failed to submit application_1689561165556_0020 to YARN : Application application_1689561165556_0020 submitted by user es to unknown queue: root.es

приложение

Elasticsearch

Kibana

X-Pack

Beats^*

Logstash^*

ES-Hadoop(jar)*

APM Server

App Search

5.0.x

5.0.x

5.0.x

1.3.x-5.6.x

2.4.x-5.6.x

5.0.x-5.6.x

N/A

N/A

5.1.x

5.1.x

5.1.x

1.3.x-5.6.x

2.4.x-5.6.x

5.0.x-5.6.x

N/A

N/A

5.2.x

5.2.x

5.2.x

1.3.x-5.6.x

2.4.x-5.6.x

5.0.x-5.6.x

N/A

N/A

5.3.x

5.3.x

5.3.x

1.3.x-5.6.x

2.4.x-5.6.x

5.0.x-5.6.x

N/A

N/A

5.4.x

5.4.x

5.4.x

1.3.x-5.6.x

2.4.x-5.6.x

5.0.x-5.6.x

N/A

N/A

5.5.x

5.5.x

5.5.x

1.3.x-5.6.x

2.4.x-5.6.x

5.0.x-5.6.x

N/A

N/A

5.6.x

5.6.x

5.6.x

1.3.x-6.0.x

2.4.x-6.0.x

5.0.x-6.0.x

N/A

N/A

6.0.x

6.0.x

6.0.x

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

N/A

N/A

6.1.x

6.1.x

6.1.x

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

N/A

N/A

6.2.x

6.2.x

6.2.x

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

6.3.x

6.3.x

N/A**

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

6.4.x

6.4.x

N/A**

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

6.5.x

6.5.x

N/A**

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

6.6.x

6.6.x

N/A**

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

6.7.x

6.7.x

N/A**

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

6.8.x

6.8.x

N/A**

5.6.x-6.8.x

5.6.x-6.8.x

6.0.x-6.8.x

6.2.x-6.8.x

N/A

7.0.x

7.0.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A

7.1.x

7.1.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A

7.2.x

7.2.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

7.2.x

7.3.x

7.3.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

7.3.x

7.4.x

7.4.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

7.4.x

7.5.x

7.5.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

7.5.x

7.6.x

7.6.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

7.6.x

7.7.x

7.7.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.8.x

7.8.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.9.x

7.9.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.10.x

7.10.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.11.x

7.11.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.12.x

7.12.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.13.x

7.13.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.14.x

7.14.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.15.x

7.15.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.16.x

7.16.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

7.17.x

7.17.x

N/A**

6.8.x-7.17.x

6.8.x-7.17.x

6.8.x-7.17.x

7.0.x-7.17.x***

N/A****

8.0.x

8.0.x

N/A**

7.17.x - 8.0.x

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.0.x

N/A****

8.1.x

8.1.x

N/A**

7.17.x - 8.1.x

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.1.x

N/A****

8.2.x

8.2.x

N/A**

7.17.x - 8.2.x

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.2.x

N/A****

8.3.x

8.3.x

N/A**

7.17.x - 8.3.x

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.3.x

N/A****

8.4.x

8.4.x

N/A**

7.17.x - 8.4.x

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.4.x

N/A****

8.5.x

8.5.x

N/A**

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.5.x

7.17.x - 8.5.x

N/A

8.6.x

8.6.x

N/A**

7.17.x - 8.6.x

N/A

7.17.x - 8.6.x

7.17.x - 8.6.x

N/A

boy illustration
Углубленный анализ переполнения памяти CUDA: OutOfMemoryError: CUDA не хватает памяти. Попыталась выделить 3,21 Ги Б (GPU 0; всего 8,00 Ги Б).
boy illustration
[Решено] ошибка установки conda. Среда решения: не удалось выполнить первоначальное зависание. Повторная попытка с помощью файла (графическое руководство).
boy illustration
Прочитайте нейросетевую модель Трансформера в одной статье
boy illustration
.ART Теплые зимние предложения уже открыты
boy illustration
Сравнительная таблица описания кодов ошибок Amap
boy illustration
Уведомление о последних правилах Points Mall в декабре 2022 года.
boy illustration
Даже новички могут быстро приступить к работе с легким сервером приложений.
boy illustration
Взгляд на RSAC 2024|Защита конфиденциальности в эпоху больших моделей
boy illustration
Вы используете ИИ каждый день и до сих пор не знаете, как ИИ дает обратную связь? Одна статья для понимания реализации в коде Python общих функций потерь генеративных моделей + анализ принципов расчета.
boy illustration
Используйте (внутренний) почтовый ящик для образовательных учреждений, чтобы использовать Microsoft Family Bucket (1T дискового пространства на одном диске и версию Office 365 для образовательных учреждений)
boy illustration
Руководство по началу работы с оперативным проектом (7) Практическое сочетание оперативного письма — оперативного письма на основе интеллектуальной системы вопросов и ответов службы поддержки клиентов
boy illustration
[docker] Версия сервера «Чтение 3» — создайте свою собственную программу чтения веб-текста
boy illustration
Обзор Cloud-init и этапы создания в рамках PVE
boy illustration
Корпоративные пользователи используют пакет регистрационных ресурсов для регистрации ICP для веб-сайта и активации оплаты WeChat H5 (с кодом платежного узла версии API V3)
boy illustration
Подробное объяснение таких показателей производительности с высоким уровнем параллелизма, как QPS, TPS, RT и пропускная способность.
boy illustration
Удачи в конкурсе Python Essay Challenge, станьте первым, кто испытает новую функцию сообщества [Запускать блоки кода онлайн] и выиграйте множество изысканных подарков!
boy illustration
[Техническая посадка травы] Кровавая рвота и отделка позволяют вам необычным образом ощипывать гусиные перья! Не распространяйте информацию! ! !
boy illustration
[Официальное ограниченное по времени мероприятие] Сейчас ноябрь, напишите и получите приз
boy illustration
Прочтите это в одной статье: Учебник для няни по созданию сервера Huanshou Parlu на базе CVM-сервера.
boy illustration
Cloud Native | Что такое CRD (настраиваемые определения ресурсов) в K8s?
boy illustration
Как использовать Cloudflare CDN для настройки узла (CF самостоятельно выбирает IP) Гонконг, Китай/Азия узел/сводка и рекомендации внутреннего высокоскоростного IP-сегмента
boy illustration
Дополнительные правила вознаграждения амбассадоров акции в марте 2023 г.
boy illustration
Можно ли открыть частный сервер Phantom Beast Palu одним щелчком мыши? Супер простой урок для начинающих! (Прилагается метод обновления сервера)
boy illustration
[Играйте с Phantom Beast Palu] Обновите игровой сервер Phantom Beast Pallu одним щелчком мыши
boy illustration
Maotouhu делится: последний доступный внутри страны адрес склада исходного образа Docker 2024 года (обновлено 1 декабря)
boy illustration
Кодирование Base64 в MultipartFile
boy illustration
5 точек расширения SpringBoot, супер практично!
boy illustration
Глубокое понимание сопоставления индексов Elasticsearch.
boy illustration
15 рекомендуемых платформ разработки с нулевым кодом корпоративного уровня. Всегда найдется та, которая вам понравится.
boy illustration
Аннотация EasyExcel позволяет экспортировать с сохранением двух десятичных знаков.