Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengonfigurasi Kerberos di Amazon EMR
Bagian ini menyediakan detail konfigurasi dan instans untuk menyiapkan Kerberos dengan arsitektur umum. Terlepas dari arsitektur yang Anda pilih, dasar-dasar konfigurasinya sama dan dilakukan di tiga langkah. Jika Anda menggunakan eksternal KDC atau mengatur kepercayaan lintas alam, Anda harus memastikan bahwa setiap node dalam cluster memiliki rute jaringan ke eksternalKDC, termasuk konfigurasi grup keamanan yang berlaku untuk memungkinkan lalu lintas Kerberos masuk dan keluar.
Langkah 1: Membuat konfigurasi keamanan dengan properti Kerberos
Konfigurasi keamanan menentukan detail tentang KerberosKDC, dan memungkinkan konfigurasi Kerberos untuk digunakan kembali setiap kali Anda membuat cluster. Anda dapat membuat konfigurasi keamanan menggunakan EMR konsol Amazon, AWS CLI, atau EMRAPI. Konfigurasi keamanan juga dapat berisi opsi keamanan lainnya, seperti enkripsi. Untuk informasi lebih lanjut tentang membuat konfigurasi keamanan dan menentukan konfigurasi keamanan ketika Anda membuat sebuah klaster, lihat Menggunakan konfigurasi keamanan untuk mengatur keamanan klaster. Untuk informasi tentang properti Kerberos di konfigurasi keamanan, lihat Pengaturan Kerberos untuk konfigurasi keamanan.
Langkah 2: Membuat sebuah klaster dan menentukan atribut Kerberos khusus klaster
Ketika Anda membuat sebuah klaster, Anda menentukan konfigurasi keamanan Kerberos bersama dengan pilihan Kerberos khusus klaster. Saat Anda menggunakan EMR konsol Amazon, hanya opsi Kerberos yang kompatibel dengan konfigurasi keamanan yang ditentukan yang tersedia. Saat Anda menggunakan AWS CLI atau Amazon EMRAPI, pastikan Anda menentukan opsi Kerberos yang kompatibel dengan konfigurasi keamanan yang ditentukan. Misalnya, jika Anda menentukan kata sandi utama untuk kepercayaan lintas ranah saat membuat klaster menggunakanCLI, dan konfigurasi keamanan yang ditentukan tidak dikonfigurasi dengan parameter kepercayaan lintas alam, kesalahan akan terjadi. Untuk informasi selengkapnya, lihat Pengaturan Kerberos untuk klaster.
Langkah 3: Konfigurasikan simpul utama cluster
Tergantung pada persyaratan arsitektur dan implementasi Anda, tambahan set up pada klaster mungkin diperlukan. Anda dapat melakukan ini setelah Anda membuatnya atau menggunakan langkah-langkah atau tindakan bootstrap selama proses pembuatan.
Untuk setiap pengguna yang diautentikasi KerberOS yang terhubung ke cluster menggunakanSSH, Anda harus memastikan bahwa akun Linux dibuat yang sesuai dengan pengguna Kerberos. Jika prinsipal pengguna disediakan oleh pengontrol domain Active Directory, baik sebagai eksternal KDC atau melalui kepercayaan lintas alam, Amazon EMR membuat akun Linux secara otomatis. Jika Direktori Aktif tidak digunakan, Anda harus membuat utama untuk setiap pengguna yang sesuai dengan pengguna Linux mereka. Untuk informasi selengkapnya, lihat Mengkonfigurasi cluster untuk pengguna dan koneksi yang diautentikasi KerberOS HDFS SSH.
Setiap pengguna juga harus memiliki direktori HDFS pengguna yang mereka miliki, yang harus Anda buat. Selain itu, SSH harus dikonfigurasi dengan GSSAPI diaktifkan untuk memungkinkan koneksi dari pengguna yang diautentikasi KerberOS. GSSAPIharus diaktifkan pada node utama, dan SSH aplikasi klien harus dikonfigurasi untuk digunakanGSSAPI. Untuk informasi selengkapnya, lihat Mengkonfigurasi cluster untuk pengguna dan koneksi yang diautentikasi KerberOS HDFS SSH.
