如何在没有企业的情况下在 DC/OS 上保护 HDFS
How to secure HDFS on DC/OS without Enterprise
我正尝试在开源 DC/OS 上保护 HDFS 集群,但这似乎不是一件容易的事。
我在 HDFS 中看到的问题是它使用当前系统用户的用户名,因此无需任何形式的身份验证,任何人都可以创建具有特定用户名的用户并获得集群上的超级用户权限。
所以我需要任何形式的身份验证。 IP auth 会很好(具有某些 IP 的客户端只能连接到 HDFS)但我找不到是否有启用它的选项。
为 HDFS 创建 Kerberos 不是一个选项,因为 运行将另一个服务连接到 运行 另一个服务到 运行 另一个服务等等只会带来大量的工作。
如果启用任何形式的可行安全性是不可能的,我可以使用任何其他 DC/OS 类似 HDFS 的服务吗?我需要一些 HA 存储来获取配置文件,有时还需要从 Artifact Uris 获取 jar 到 运行 服务。我还需要一个地方来存储来自 spark streaming 的 parquet 文件。
DC/OSHDFS 的版本是 2.6.x。
不幸的是,Kerberos 似乎是 HDFS 中唯一真正的身份验证形式。没有这个,HDFS 将信任每个用户。
我正尝试在开源 DC/OS 上保护 HDFS 集群,但这似乎不是一件容易的事。 我在 HDFS 中看到的问题是它使用当前系统用户的用户名,因此无需任何形式的身份验证,任何人都可以创建具有特定用户名的用户并获得集群上的超级用户权限。
所以我需要任何形式的身份验证。 IP auth 会很好(具有某些 IP 的客户端只能连接到 HDFS)但我找不到是否有启用它的选项。
为 HDFS 创建 Kerberos 不是一个选项,因为 运行将另一个服务连接到 运行 另一个服务到 运行 另一个服务等等只会带来大量的工作。
如果启用任何形式的可行安全性是不可能的,我可以使用任何其他 DC/OS 类似 HDFS 的服务吗?我需要一些 HA 存储来获取配置文件,有时还需要从 Artifact Uris 获取 jar 到 运行 服务。我还需要一个地方来存储来自 spark streaming 的 parquet 文件。
DC/OSHDFS 的版本是 2.6.x。
不幸的是,Kerberos 似乎是 HDFS 中唯一真正的身份验证形式。没有这个,HDFS 将信任每个用户。