Topik ini menjelaskan cara mengonfigurasi akun pengguna Knox di konsol E-MapReduce (EMR) untuk mengakses antarmuka web layanan tertentu seperti Hadoop Distributed File System (HDFS), YARN, Spark, dan Ganglia melalui Internet.
Prasyarat
Sebuah kluster EMR yang berisi layanan Knox telah dibuat. Untuk informasi lebih lanjut, lihat Buat kluster.
Jika kluster Anda tidak mencakup layanan Knox, Anda dapat menambahkan Knox. Untuk informasi lebih lanjut, lihat Tambahkan layanan.
Persiapan
Tambahkan aturan grup keamanan
Dapatkan alamat IP publik mesin lokal Anda.
Untuk alasan keamanan, disarankan hanya mengizinkan akses dari alamat IP publik saat ini ketika mengonfigurasi aturan grup keamanan. Untuk mendapatkan alamat IP publik saat ini, kunjungi http://myip.ipip.net/.
Tambahkan aturan grup keamanan.
Pada contoh ini, port 8443 diaktifkan.
Buka tab Basic Information dari kluster yang diinginkan. Di bagian Security, klik tautan di sebelah kanan Cluster Security Group.
Di tab Security Group Details pada halaman yang muncul, klik Add Rule pada sub-tab Inbound.
Atur parameter Authorization Object ke alamat IP publik yang diperoleh pada langkah sebelumnya dan parameter Port Range ke 8443/8443.
Klik Save di kolom Actions.
Untuk mencegah serangan dari pengguna eksternal, Anda tidak diizinkan mengatur Authorization Object ke 0.0.0.0/0.
Jika Anda tidak mengaktifkan saklar Assign Public IP Address saat membuat kluster, tidak ada alamat IP publik yang tersedia. Dalam hal ini, Anda dapat menambahkan alamat IP publik ke Node master kluster di konsol ECS.
Konfigurasikan akun pengguna Knox
Saat mengakses Knox, Anda harus memasukkan nama pengguna dan kata sandi. Otentikasi didasarkan pada Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan layanan LDAP dari Apache Directory Server di kluster.
Metode 1 (direkomendasikan)
Di halaman EMR on ECS, klik nama kluster yang diinginkan. Di halaman yang muncul, klik tab Users. Pada tab tersebut, klik Add User untuk menambahkan akun pengguna Knox. Untuk informasi lebih lanjut, lihat Kelola akun pengguna.
Metode 2
Masuk ke kluster yang diinginkan dalam mode SSH. Untuk informasi lebih lanjut, lihat Masuk ke kluster.
Siapkan nama pengguna Anda, misalnya Tom.
Jalankan perintah berikut untuk membuka file users.ldif:
su knox vim /opt/apps/KNOX/knox-current/templates/users.ldifDi dalam file, ganti
emr-guestdanEMR GUESTdenganTom, dan atur parameter userPassword ke kata sandi dari nama pengguna tersebut.Jalankan perintah berikut untuk mengimpor data pengguna ke LDAP:
cd /opt/apps/KNOX/knox-current/templates sh ldap-sample-users.sh
Akses antarmuka web layanan
Untuk informasi lebih lanjut, lihat Akses antarmuka web komponen sumber terbuka di konsol EMR.
FAQ
P: Apa yang harus saya lakukan jika Knox berhenti secara abnormal dan kesalahan
Gagal memulai gateway: org.apache.hadoop.gateway.services.ServiceLifecycleException: Sertifikat SSL Gateway telah kedaluwarsadilaporkan saat saya memulai Knox?
J: Anda dapat melakukan langkah-langkah berikut untuk menyelesaikan masalah:
Masuk ke kluster Anda dalam mode SSH. Untuk informasi lebih lanjut, lihat Masuk ke kluster.
Jalankan perintah berikut untuk mengganti nama sertifikat SSL yang kedaluwarsa:
sudo mv /opt/apps/KNOX/knox-current/data/security/keystores/gateway.jks /opt/apps/KNOX/knox-current/data/security/keystores/bak_gateway.jksCatatanAnda juga bisa memindahkan sertifikat SSL yang kedaluwarsa ke direktori lain.
Mulai Knox.
Buka tab Services dari kluster. Di tab Services, temukan Knox, arahkan penunjuk ke ikon
, lalu pilih Start.Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.
Di pesan Confirm, klik OK.