检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份认证与访问控制 身份认证 MRS支持安全协议Kerberos,使用LDAP作为账户管理系统,并通过Kerberos服务对账户信息进行安全认证。 Kerberos安全认证原理和认证机制具体介绍请参见安全认证原理和认证机制。 访问控制 MRS提供两种访问控制权限模型:基于角色的权限控制和基于策略的权限控制
集群已启用Kerberos认证(安全模式) 在FusionInsight Manager中创建一个人机用户,例如“dorisuser”,创建一个拥有“Doris管理员权限”的角色绑定给该用户。
在Manager界面创建两个使用Hive的“人机”用户并加入“hive”组,例如“huser1”和“huser2”。“huser2”需绑定“hrole”。使用“huser1”创建一个数据库“hdb”,并在此数据库中创建表“htable”。
选择“用户 > 添加用户”,填写用户名称,如“dorisuser”,“用户类型”选择“人机”,“密码策略”默认,输入用户密码并确认密码,关联“dorisrole”角色,单击“确定”。
集群已启用Kerberos认证(安全模式) 在FusionInsight Manager中创建一个人机用户,例如“dorisuser”,创建一个拥有“Doris管理员权限”的角色绑定给该用户。
MRS安全增强 MRS作为一个海量数据管理和分析的平台,具备高安全性。MRS主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中,提供隔离的网络环境,保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能,为用户提供高安全
创建拥有Doris管理权限的人机用户(例如用户名为dorisuser),并修改初始密码。 登录Doris集群Manager页面,详细操作请参考访问MRS集群Manager。
“用户类型”选择“人机”,在“密码”和“确认密码”参数设置该用户对应的密码。 用户名:添加的用户名不能包含字符“-”,否则会导致认证失败。 密码:设置的密码不能携带“$”、“.”、“#”特殊字符,否则会导致认证失败。
用户类型为人机用户,用户组选择“hadoop”,主组选择“hadoop”,角色选择“Manager_operator”。 例如创建的用户为“mrs-test”。
“用户类型”设置为“人机”。 设置登录Hue的WebUI界面的“密码”、“确认密码”。 单击“用户组”后的“添加”,在弹出的界面选择3创建的用户组、supergroup、hadoop和hive用户组,单击“确定”。 “主组”选择“hive”。
如果集群启用了安全服务,需要从管理员处获取一个“人机”用户,用于登录FusionInsight Manager平台并通过认证,并且获取到该用户的keytab文件。 获取的用户需要同时属于storm组和kafka组。
审计日志转储文件关键字段参考: “USERTYPE”表示用户类型,“0”表示“人机”用户,“1”表示“机机”用户。 “LOGLEVEL”表示安全级别,“0”表示高危,“1”表示危险,“2”表示一般,“3”表示提示。
在Manager界面创建两个使用Hive的“人机”用户并加入“hive”组,例如“huser1”和“huser2”。“huser2”需绑定“hrole”。使用“huser1”创建一个数据库“hdb”,并在此数据库中创建表“htable”。
登录FusionInsight Manager页面,选择“系统 > 权限 > 用户”,添加人机用户sparkuser,用户组(hadoop、hive),主组(hadoop)。 进入客户端目录,加载环境变量并认证用户: cd /客户端安装目录 source .
“用户类型”选择“人机”,在“密码”和“确认密码”参数设置该用户对应的密码。 用户名:添加的用户名不能包含字符“-”,否则会导致认证失败。 密码:设置的密码不能携带“$”、“.”、“#”特殊字符,否则会导致认证失败。
登录FusionInsight Manager页面,选择“系统 > 权限 > 用户”,添加人机用户sparkuser,用户组(hadoop、hive),主组(hadoop)。 进入客户端目录,加载环境变量并认证用户: cd /客户端安装目录 source .
用户类型:选择“人机”用户。 “密码”和“确认新密码”输入该用户对应的密码。 用户组:单击“添加”,选择“hive”和“hadoop”用户组并单击“确定”。
例如, 人机用户:kinit MRS集群用户 例如:kinit hbaseuser 机机用户:kinit -kt 认证凭据路径 MRS集群用户 例如:kinit -kt /opt/user.keytab hbaseuser 在curl命令中需在请求类型之前添加--negotiate
用户类型:选择“人机”用户。 “密码”和“确认新密码”输入该用户对应的密码。 用户组:单击“添加”,选择“hive”和“hadoop”用户组并单击“确定”。
当用户为“人机”用户时:执行kinit opentsdbuser认证用户 当用户为“机机”用户时:下载用户认证凭据文件,保存并解压获取用户的user.keytab文件与krb5.conf文件,进入解压后的user.keytab目录下,执行kinit -kt user.keytab
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
