hbase 存储启用加密
集群已经安装 hbase
通过 ambari 界面停止 hbase 服务。
将 hbase 的 home 目录改名:
$ kinit -kt /etc/security/keytabs/hdfs.headless.keytab hdfs-hdp2610
$ hdfs dfs -mv /apps/hbase /apps/hbase-tmp
将 /apps/hbase 转化为加密区:
$ hdfs crypto -createZone -keyName zonekey1 -path /apps/hbase
将 /apps/hbase-tmp 目录下内容复制回 hbase 的根目录中:
$ hadoop distcp -skipcrccheck -update /apps/hbase-tmp /apps/hbase
实测报错,提示 user:hbase not allowed to do 'DECRYPT_EEK' on 'zonekey1'。
以 keyadmin:keyadmin 登录 ranger,编辑策略 all-keyname,在 Decrypt EEK 条目中增加用户 hbase,问题解决。
集群尚未安装 hbase
创建 /apps/hbase 目录,将该目录设置为加密区:
$ kinit -kt /etc/security/keytabs/hdfs.headless.keytab hdfs-hdp2610
$ hdfs dfs -mkdir /apps/hbase
$ hdfs crypto -createZone -keyName zonekey1 -path /apps/hbase
通过 ambari 界面设置 hbase 参数:
$ hbase.rootdir=/apps/hbase/data
$ hbase.bulkload.staging.dir=/apps/hbase/staging
其它
报错:
$ hdfs dfs -put /opt/ca/ca.key /tmp/webb
put: User:hbase not allowed to do 'DECRYPT_EEK' on 'zonekey1'
在社区的 相关讨论。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论