아마존에서 케르베로스 설정하기 EMR

이 단원에서는 일반적인 아키텍처로 Kerberos를 설정하기 위한 구성 세부 정보와 예제를 제공합니다. 선택하는 아키텍처에 관계없이 구성 기본 사항은 동일하며 3단계로 수행됩니다. KDC외부를 사용하거나 영역 간 트러스트를 설정하는 경우 인바운드 및 아웃바운드 Kerberos 트래픽을 허용하는 해당 보안 그룹의 구성을 포함하여 클러스터의 모든 노드에 KDC 외부로 연결되는 네트워크 경로가 있는지 확인해야 합니다.

1단계: Kerberos 속성을 통한 보안 구성 생성

보안 구성은 Kerberos에 대한 세부 정보를 지정하며 클러스터를 생성할 KDC 때마다 Kerberos 구성을 재사용할 수 있도록 합니다. Amazon EMR 콘솔을 사용하여 보안 구성을 생성할 수 있습니다. AWS CLI, 또는 EMRAPI. 보안 구성에는 암호화 같은 기타 보안 옵션들도 포함될 수 있습니다. 클러스터를 생성할 때 보안 구성을 생성하고 지정하는 방법에 대한 자세한 내용은 보안 구성을 사용하여 클러스터 보안 설정 단원을 참조하십시오. 보안 구성의 Kerberos 속성에 대한 자세한 내용은 보안 구성에 대한 Kerberos 설정 단원을 참조하십시오.

2단계: 클러스터 생성 및 클러스터별 Kerberos 속성 지정

클러스터를 생성할 때 클러스터별 Kerberos 옵션과 함께 Kerberos 보안 구성을 지정합니다. Amazon EMR 콘솔을 사용하는 경우 지정된 보안 구성과 호환되는 Kerberos 옵션만 사용할 수 있습니다. 를 사용하는 경우 AWS CLI EMRAPIAmazon의 경우 지정된 보안 구성과 호환되는 Kerberos 옵션을 지정해야 합니다. 예를 들어, 를 사용하여 클러스터를 생성할 때 영역 간 트러스트의 보안 주체 암호를 지정하고 지정된 보안 구성이 영역 간 신뢰 매개 변수로 구성되지 않은 경우 오류가 발생합니다. CLI 자세한 내용은 클러스터에 대한 Kerberos 설정 단원을 참조하십시오.

3단계: 클러스터 프라이머리 노드 구성

아키텍처 및 구현 요구 사항에 따라 클러스터에 추가적인 설정이 필요할 수 있습니다. 생성 후 또는 생성 프로세스 중에 단계 또는 부트스트랩 작업을 통해 설정할 수 있습니다.

를 사용하여 SSH 클러스터에 연결하는 각 Kerberos 인증 사용자에 대해 Kerberos 사용자에 해당하는 Linux 계정을 생성해야 합니다. Active Directory 도메인 컨트롤러가 외부 KDC 또는 영역 간 트러스트를 통해 사용자 보안 주체를 제공하는 경우 Amazon은 자동으로 Linux 계정을 EMR 생성합니다. Active Directory를 사용하지 않는 경우 Linux 사용자에 해당하는 각 사용자의 보안 주체를 생성해야 합니다. 자세한 내용은 HDFSKerberos로 인증된 사용자 및 연결을 위한 클러스터 구성 SSH 단원을 참조하십시오.

또한 각 사용자는 자신이 소유한 HDFS 사용자 디렉토리를 가지고 있어야 하며, 이 디렉토리를 직접 만들어야 합니다. 또한 Kerberos로 인증된 사용자로부터의 연결을 허용하도록 GSSAPI 활성화되도록 SSH 구성해야 합니다. GSSAPI기본 노드에서 활성화해야 하며 클라이언트 SSH 응용 프로그램을 사용하도록 구성해야 합니다. GSSAPI 자세한 내용은 HDFSKerberos로 인증된 사용자 및 연결을 위한 클러스터 구성 SSH 단원을 참조하십시오.