E-MapReduce(简称EMR)支持对接用户自建的外部MIT Kerberos,可以将普通集群切换成Kerberos集群(高安全集群)。本文为您介绍如何在EMR上对接外部的MIT Kerberos。

前提条件

  • 已在EMR上创建普通集群,详情请参见创建集群
  • 已获取正确的KDC的IP地址,Kadmin的IP地址以及Principal的名称和密码。
    说明 请确保获取的内容正确,否则在对接过程中会出现错误。

注意事项

  • 对接外部MIT Kerberos功能,仅支持普通集群切换为Kerberos集群(高安全集群)的场景。
  • 需要确保EMR集群与自建外部MIT Kerberos间网络和端口的连通性。例如,TCP 88端口、749端口和UDP 88端口。

    您可以在对接前,先在EMR集群的header-1节点先测试好连通性,然后再进行对接。

  • 集群对接过程中所有服务都会重启,会影响集群正在运行的作业。

    集群对接过程中会先停止所有服务,并连接用户自建的MIT Kerberos,创建出集群服务所需的Kerberos Principal并导出keytab文件到集群上,自动配置集群上支持Kerberos的服务,然后启动集群上的所有服务。

操作步骤

  1. 进入管理页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击待操作的集群ID。
  2. 集群与服务管理页面,单击右上角的开启Kerberos
  3. Kerberos对话框中,执行以下操作。
    1. 开启Kerberos向导中,单击MIT KDC
    2. 勾选图中事项,并单击下一步
      注意 请仔细阅读此页面的说明和事项内容。
      Start Kerberos1
    3. 配置Kerberos中,配置如下参数,单击下一步Start Kerberos2
      参数 描述
      KDC Hosts KDC的IP地址和端口。
      多个IP地址时,使用英文逗号(,)隔开。例如,192.168.**.**:88,192.168.**.**:88。
      注意 确保EMR集群与KDC地址及端口的连通性。
      Realm Name KDC Realm名称。
      Kadmin Hosts Kadmin服务的IP地址和端口。
      多个IP地址时,使用英文逗号(,)隔开。例如,192.168.**.**:749。
      注意 确保EMR集群对Kadmin服务地址及端口的连通性。
      Admin Principal 用于连接Kadmin服务的Principal名称。
      注意 确保该Principal具有admin权限,能够创建Principal和导出keytab文件。建议您使用root/admin
      设置Admin密码 Principal对应的密码。
      确认密码
      krb5-conf krb5.conf模板文件,没有特殊需求无需修改。
    4. 开启Kerberos中,确认信息无误后,单击确认,开启KerberosStart Kerberos3

      您可以在集群管理页面,单击右上角的查看操作历史,待所有操作的状态显示为成功时,再对集群进行其他操作。