Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di Kerberos su Amazon EMR
Questa sezione fornisce dettagli ed esempi di configurazione per configurare Kerberos con architetture comuni. Indipendentemente dall'architettura scelta, i passaggi di base delle configurazione sono gli stessi e vengono effettuati in tre fasi. Se utilizzi un trust esterno KDC o configuri un trust cross-realm, devi assicurarti che ogni nodo di un cluster abbia un percorso di rete verso l'esternoKDC, inclusa la configurazione dei gruppi di sicurezza applicabili per consentire il traffico Kerberos in entrata e in uscita.
Fase 1: creazione di una configurazione di sicurezza con le proprietà di Kerberos
La configurazione di sicurezza specifica i dettagli su Kerberos e consente di riutilizzare la configurazione Kerberos KDC ogni volta che si crea un cluster. Puoi creare una configurazione di sicurezza utilizzando la EMR console Amazon, AWS CLI, o il EMRAPI. La configurazione di sicurezza può inoltre contenere altre opzioni di sicurezza, ad esempio la crittografia. Per ulteriori informazioni sulla creazione di configurazioni di sicurezza e la specifica di una configurazione di sicurezza al momento della creazione di un cluster, consulta Utilizzo delle configurazioni di sicurezza per impostare la sicurezza del cluster. Per informazioni sulle proprietà di Kerberos in una configurazione di sicurezza, consulta Impostazioni Kerberos per configurazioni di sicurezza.
Fase 2: creazione di un cluster e specifica di attributi Kerberos appositi per il cluster
Quando crei un cluster, specifichi una configurazione di sicurezza Kerberos insieme alle opzioni di Kerberos specifiche del cluster stesso. Quando utilizzi la EMR console Amazon, sono disponibili solo le opzioni Kerberos compatibili con la configurazione di sicurezza specificata. Quando si utilizza il AWS CLI o Amazon EMRAPI, assicurati di specificare le opzioni Kerberos compatibili con la configurazione di sicurezza specificata. Ad esempio, se si specifica una password principale per un trust cross-realm quando si crea un cluster utilizzando il e la configurazione di sicurezza specificata non è configurata con parametri di trust cross-realmCLI, si verifica un errore. Per ulteriori informazioni, consulta Impostazioni Kerberos per i cluster.
Fase 3: configurazione del nodo primario del cluster
In base ai requisiti dell'architettura e dell'implementazione, può essere necessaria una configurazione aggiuntiva sul cluster. È possibile farlo dopo la sua creazione o utilizzando operazioni di bootstrap o fasi durante il processo di creazione.
Per ogni utente autenticato con Kerberos che si connette al cluster utilizzandoSSH, è necessario assicurarsi che vengano creati account Linux corrispondenti all'utente Kerberos. Se i principali utente sono forniti da un controller di dominio Active Directory, come controller esterno KDC o tramite un trust cross-realm, Amazon EMR crea automaticamente account Linux. Se Active Directory non viene utilizzato, è necessario creare principali per ciascun utente corrispondenti al rispettivo utente Linux. Per ulteriori informazioni, consulta Configurazione di un cluster per utenti e connessioni autenticati con Kerberos HDFS SSH.
Ogni utente deve inoltre disporre di una directory HDFS utente di sua proprietà, che è necessario creare. Inoltre, SSH deve essere configurato con GSSAPI enabled per consentire le connessioni degli utenti autenticati con Kerberos. GSSAPIdeve essere abilitato sul nodo primario e l'SSHapplicazione client deve essere configurata per l'uso. GSSAPI Per ulteriori informazioni, consulta Configurazione di un cluster per utenti e connessioni autenticati con Kerberos HDFS SSH.
