凌云的博客

HDFS 配置 SSL

分类：hadoop| 发布时间：2018-12-03 20:19:00

---

概述

在上一篇文章 HDFS 部署 Kerberos 认证 中， 我们描述了在安全模式下 DataNode 在安全模式下有两种认证方式，一种是通过 SASL，另外一种是通过特权端口的方式。 上一篇文章描述了特权端口的配置方式，而本文主要描述 SASL 认证方式的配置方法。

整个集群有如下节点：

• namenode： 作为 namenode
• datanode1：数据节点
• datanode2：数据节点
• KDC：作为 KDC 以及 admin-server

生成 keystore 和 truststore

在 CA 服务器（没有专门的 CA 服务器的话可以在 NameNode 所在节点进行操作）进行以下操作

• 生成 keystore

$ keytool -genkey -alias namenodekey -keyalg RSA -keypass {password} -storepass {password} -keystore namenode.jks
$ keytool -genkey -alias datanode1key -keyalg RSA -keypass {password} -storepass {password} -keystore datanode1.jks
$ keytool -genkey -alias datanode2key -keyalg RSA -keypass {password} -storepass {password} -keystore datanode2.jks

这一步主要为每个节点生成各自的密钥对

• 生成 truststore

$ keytool -export -alias namenodekey -storepass {password} -file namenode.cert -keystore {keystore}
$ keytool -export -alias datanode1key -storepass {password} -file datanode1.cert -keystore {keystore}
$ keytool -export -alias datanode2-storepass {password} -file datanode2.cert -keystore {keystore}
$ keytool -import -v -trustcacerts -alias namenodekey -file namenode.cert -keystore truststore.jks -keypass {password}
$ keytool -import -v -trustcacerts -alias datanode1key -file datanode1.cert -keystore truststore.jks -keypass {password}
$ keytool -import -v -trustcacerts -alias datanode2key -file datanode2.cert -keystore truststore.jks -keypass {password}

这一步主要就是对每个节点的密钥对进行认证，大体的原理可以看 数字签名是什么？

• 接下来就是将各个密钥对复制到各自的节点，同时将 truststore.jks 复制到集群的每个节点。

配置 HDFS

公共配置

所有节点进行以下修改

• 配置 ssl-server.xml，可从 ssl-server.xml.example 复制过来修改

<property>
    <name>ssl.server.keystore.type</name>
    <value>jks</value>
</property>
<property>
    <name>ssl.server.keystore.keypassword</name>
    <value><password of keystore></value>
</property>
<property>
    <name>ssl.server.keystore.password</name>
    <value><password of keystore></value>
    <description>Must be specified.</description>
</property>
<property>
    <name>ssl.server.keystore.location</name>
    <value><location of keystore.jks></value>
</property>
<property>
    <name>ssl.server.truststore.type</name>
    <value>jks</value>
</property>
<property>
    <name>ssl.server.truststore.location</name>
    <value><location of truststore.jks></value>
</property>
<property>
    <name>ssl.server.truststore.password</name>
    <value><password of truststore></value>
</property>

• 配置 ssl-client.xml，可从 ssl-client.xml.example 复制过来修改

<property>
    <name>ssl.client.truststore.password</name>
    <value><password of truststore></value>
</property>
<property>
    <name>ssl.client.truststore.type</name>
    <value>jks</value>
</property>
<property>
    <name>ssl.client.truststore.location</name>
    <value><location of truststore.jks></value>
</property>

配置 NameNode

配置 SSH 无密码登录方式到 DataNode 的 hadoop 用户

配置 DataNode

• hdfs-site.xml

<property>
    <name>dfs.http.policy</name>
    <value>HTTPS_ONLY</value>
</property>
<property>
    <name>dfs.data.transfer.protection</name>
    <value>authentication</value>
</property>

除了以上的配置项，还需要确保 dfs.datanode.address 和 dfs.datanode.http.address 的端口号不是特权端口。

• 删除 hadoop-env.sh 中的

# export HDFS_DATANODE_SECURE_USER=hadoop
# export JSVC_HOME=/usr/bin

测试

• 启动 HDFS 集群 在 NameNode 节点调用：

$ start-dfs.sh

• 测试验证配置是否有效
  • 验证 RPC port

  $ kinit hdfs/client@HADOOPKRB
  $ hdfs dfs -ls /
  $ kdestroy
  $ hdfs dfs -ls /
  

  • 验证 REST port

  $ kinit hdfs/client@HADOOPKRB
  $ hdfs dfs -ls webhdfs://namenode:9000/
  

  端口 9000 需要根据你的实际情况进行修改，可以查看 namenode 的 core-site.xml 中的 fs.default.name 配置项得到当前配置的端口号
  • 遇到问题时，可以开启 debug 模式，如下：

  $ export HADOOP_ROOT_LOGGER=TRACE,console
  $ export HADOOP_OPTS="-Dsun.security.krb5.debug=true -Djavax.net.debug=ssl"
  $ hdfs dfs -ls /
  

参考

• Understanding Java Keystores and Truststores
• Hadoop in Secure Mode
• Secure DataNode
• 图解 SSL/TLS 协议
• 数字签名是什么？