MapReduce服务 MRS-集群(未启用Kerberos认证)安全配置建议
集群(未启用Kerberos认证)安全配置建议
Hadoop社区版本提供两种认证方式Kerberos认证(安全模式)和Simple认证(普通模式),在创建集群时, MRS 支持配置是否启用Kerberos认证。
在安全模式下MRS集群统一使用Kerberos认证协议进行安全认证。
而普通模式下MRS集群各组件使用原生开源的认证机制,一般为Simple认证方式。而Simple认证,在客户端连接服务端的过程中,默认以客户端执行用户(例如操作系统用户“root”等)自动完成认证,管理员或业务用户不显示感知认证。而且客户端在运行时,甚至可以通过注入UserGroupInformation来伪装成任意用户(包括superuser),集群资源管理接口和数据控制接口在服务端无认证和鉴权控制,很容易被黑客利用和攻击。
所以在普通模式下,必须通过严格限定网络访问权限来保障集群的安全。操作建议如下:
- 尽量将业务应用程序部署在同VPC和子网下的E CS 中,避免通过外网访问MRS集群。
- 配置严格限制访问范围的安全组规则,禁止对MRS集群的入方向端口配置允许Any或0.0.0.0的访问规则。
- 如需从集群外访问集群内组件原生页面,请参考创建连接MRS集群的SSH隧道并配置浏览器进行配置。
- 大数据分析是什么_使用MapReduce_创建MRS服务
- MapReduce服务_如何使用MapReduce服务_MRS集群客户端安装与使用
- 什么是Manager_Manager的功能_MRS运维管理
- MapReduce服务_什么是Kafka_如何使用Kafka
- MapReduce服务_什么是存算分离_如何配置MRS集群存算分离
- MRS优势_什么是MRS_MRS功能
- MRS备份恢复_MapReduce备份_数据备份
- 主机安全配置_Windows主机安全配置_Linux主机安全配置
- MapReduce服务_什么是Flink_如何使用Flink
- MapReduce服务_什么是ZooKeeper_如何使用ZooKeeper