기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
구성 예제
다음 예는 일반적인 시나리오의 보안 구성 및 클러스터 구성을 보여줍니다. AWS CLI 간단한 설명을 위해 명령이 표시됩니다.
로컬 KDC
다음 명령은 기본 노드에서 클러스터 전용으로 KDC 실행되는 클러스터를 생성합니다. 클러스터의 추가 구성이 필요합니다. 자세한 내용은 HDFSKerberos로 인증된 사용자 및 연결을 위한 클러스터 구성 SSH 단원을 참조하십시오.
보안 구성 생성
aws emr create-security-configuration --nameLocalKDCSecurityConfig\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ClusterDedicatedKdc",\ "ClusterDedicatedKdcConfiguration": {"TicketLifetimeInHours":24}}}}'
클러스터 생성
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count 3 --instance-typem5.xlarge\ --applications Name=HadoopName=Hive--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole \ --security-configurationLocalKDCSecurityConfig\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=MyPassword
Active Directory 영역 간 신뢰 기능을 갖춘 클러스터 전용 KDC
다음 명령은 Active Directory 도메인에 대한 영역 간 트러스트를 통해 기본 노드에서 클러스터 전용으로 KDC 실행되는 클러스터를 만듭니다. 클러스터 및 Active Directory의 추가 구성이 필요합니다. 자세한 내용은 자습서: Active Directory 도메인과 교차 영역 신뢰 구성 단원을 참조하십시오.
보안 구성 생성
aws emr create-security-configuration --nameLocalKDCWithADTrustSecurityConfig\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ClusterDedicatedKdc", \ "ClusterDedicatedKdcConfiguration": {"TicketLifetimeInHours":24, \ "CrossRealmTrustConfiguration": {"Realm":"AD.DOMAIN.COM", \ "Domain":"ad.domain.com", "AdminServer":"ad.domain.com", \ "KdcServer":"ad.domain.com"}}}}}'
클러스터 생성
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count3--instance-typem5.xlarge--applications Name=HadoopName=Hive\ --ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole --security-configurationKDCWithADTrustSecurityConfig\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=MyClusterKDCAdminPassword,\ ADDomainJoinUser=ADUserLogonName,ADDomainJoinPassword=ADUserPassword,\ CrossRealmTrustPrincipalPassword=MatchADTrustPassword
외부: 다른 클러스터에 있습니다. KDC
다음 명령은 다른 클러스터의 기본 노드에 있는 클러스터 전용 KDC 클러스터를 참조하여 주체를 인증하는 클러스터를 생성합니다. 클러스터의 추가 구성이 필요합니다. 자세한 내용은 HDFSKerberos로 인증된 사용자 및 연결을 위한 클러스터 구성 SSH 단원을 참조하십시오.
보안 구성 생성
aws emr create-security-configuration --nameExtKDCOnDifferentCluster\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ExternalKdc", \ "ExternalKdcConfiguration": {"KdcServerType": "Single", \ "AdminServer": "MasterDNSOfKDCMaster:749", \ "KdcServer": "MasterDNSOfKDCMaster:88"}}}}'
클러스터 생성
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count3--instance-typem5.xlarge\ --applications Name=Hadoop Name=Hive \ --ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole --security-configurationExtKDCOnDifferentCluster\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=KDCOnMasterPassword
Active Directory 영역 간 신뢰를 사용하는 외부 클러스터 KDC
다음 명령을 실행하면 없는 클러스터를 만들 수 있습니다. KDC 클러스터는 다른 클러스터의 기본 노드에서 KDC 실행되는 클러스터 전용 클러스터를 참조하여 주체를 인증합니다. Active KDC Directory 도메인 컨트롤러와 영역 간 신뢰를 맺고 있습니다. 를 사용하는 주 노드에는 추가 구성이 필요합니다KDC. 자세한 내용은 자습서: Active Directory 도메인과 교차 영역 신뢰 구성 단원을 참조하십시오.
보안 구성 생성
aws emr create-security-configuration --nameExtKDCWithADIntegration\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ExternalKdc", \ "ExternalKdcConfiguration": {"KdcServerType": "Single", \ "AdminServer": "MasterDNSofClusterKDC:749", \ "KdcServer": "MasterDNSofClusterKDC.com:88", \ "AdIntegrationConfiguration": {"AdRealm":"AD.DOMAIN.COM", \ "AdDomain":"ad.domain.com", \ "AdServer":"ad.domain.com"}}}}}'
클러스터 생성
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count3--instance-typem5.xlarge--applications Name=HadoopName=Hive\ --ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole --security-configurationExtKDCWithADIntegration\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=KDCOnMasterPassword,\ ADDomainJoinUser=MyPrivilegedADUserName,ADDomainJoinPassword=PasswordForADDomainJoinUser
