Kudu Security ( 安全 ) · Kudu 1.4.0 中文文檔

# Kudu Security ( 安全 ) 原文鏈接 : [http://kudu.apache.org/docs/security.html](http://kudu.apache.org/docs/security.html) 譯文鏈接 : [http://cwiki.apachecn.org/pages/viewpage.action?pageId=10813635](http://cwiki.apachecn.org/pages/viewpage.action?pageId=10813635) 貢獻者 : [小瑤](/display/~chenyao)，[ApacheCN](/display/~apachecn)，[Apache中文網](/display/~apachechina) **Kudu** 包括安全功能，它可以讓集群更安全以防止未授權的用戶訪問。本指南介紹了 **Kudu** 提供的安全功能，列出了必要的配置選項。?[Known Limitations](http://kudu.apache.org/docs/security.html#known-limitations)?包含了 **Kudu** 中安全兼容性方面不足的列表。 ## [Authentication](http://kudu.apache.org/docs/security.html#_authentication)（認證） **Kudu** 可以配置為在服務器之間和客戶端和服務器之間實施安全認證。身份驗證可防止不受信任的行為者訪問 **Kudu**，并安全地識別連接的用戶或服務以進行授權檢查。Kudu 的認證旨在通過使用 **Kerberos?**與其他安全的 **Hadoop** 組件進行互操作。可以在 **Kudu** **servers** 上使用?`**--rpc-authentication** 標記來配置認證`，它可以被設置為?**`required`**，**`optional`**，或?**`disabled`**。默認情況下，該標記設置為?**`optional`**。當設置為?`**required** 時，?`**Kudu** 將拒絕客戶端和缺少身份驗證憑證的服務器的連接。當設置為?`**optional** 時`，**Kudu** 將嘗試使用強身份驗證。當配置為 `**disabled** 或針對?`“**optional**” 的強認證失敗時，默認情況下，**Kudu** 將只允許來自受信任子網的未經身份驗證的連接，它們是非私有網絡（127.0.0.0.08,10.0.0.08,172.16.0.0/12,192.168.0.0/16,169.254.0.0 / 16）和本地網絡接口的本地子網。來自可公開路由的 **IP** 的未認證連接將被拒絕。可信任的子網可以使用?`**--trusted_subnets** 標記`進行配置，該標記可以設置為以逗號分隔的 **CIDR** 表示法的 **IP** 塊。將其設置為 “**0.0.0.0/0**” 以允許來自所有遠程 **IP** 地址的未經身份驗證的連接。但是，如果網絡訪問不受防火墻的限制，惡意用戶可能會獲得未經授權的訪問。如果認證被配置為 **required**，這可以減少這樣的行為。警告 : 當 **--rpc-authentication** 標記設置為 **optional** 時，該集群不會阻止來自未授權用戶的訪問請求。要保護集群，請使用 **--rpc-authentication=required**。 ## Internal PKI **Kudu** 使用內部 **PKI** 系統向集群中的服務器發出 **X.509** 證書。具有獲得證書的對等體之間的連接將使用 **TLS?**進行身份驗證，這不需要聯系 **Kerberos KDC**。這些證書_?**only**（僅僅）_用于 **Kudu?**服務器之間以及 **Kudu?**客戶端和服務器之間的內部通信。這些證書永遠不會在面向公眾的協議中呈現。通過使用內部頒發的證書，**Kudu?**提供強大的身份驗證功能，可擴展到巨大的群集，并允許使用 **TLS?**加密，而無需在每個節點上手動部署證書。 ## [Authentication Tokens](http://kudu.apache.org/docs/security.html#_authentication_tokens)（[認證令牌](http://kudu.apache.org/docs/security.html#_authentication_tokens)）在對安全的群集進行身份驗證后，**Kudu** 客戶端將自動向 **Kudu**主機請求一個身份驗證令牌。認證令牌封裝認證用戶的身份，并攜帶 **master** 的 **RSA** 簽名，以便驗證其真實性。該令牌將用于驗證后續連接。默認情況下，身份驗證令牌僅在七天內有效，因此即使令牌遭到入侵，也不能無限期地使用令牌。在大多數情況下，身份驗證令牌應對用戶完全透明。通過使用身份驗證令牌，**Kudu** 可以利用強大的身份驗證功能，而無需支付與每個連接的中央機構進行通信的可擴展性成本。 ?當與分布式計算框架（如 **Spark**）一起使用時，身份驗證令牌可以簡化配置并提高安全性。例如，**Kudu** **Spark connector**（連接器）將在規劃階段自動檢索認證令牌，并將令牌分發到任務。這樣，**Spark?**可以對受保護的 **Kudu?**集群工作，只有 **planner node**?具有?**Kerberos?**憑據。 ## [Scalability](http://kudu.apache.org/docs/security.html#_scalability)（可擴展性） **Kudu** 認證旨在擴展到數千個節點，這需要避免與中央認證機構（如 **Kerberos** **KDC**）的不必要的協調。相反，**Kudu?**服務器和客戶端將使用 **Kerberos?**與 **Kudu?**主機建立初始信任，然后使用備用憑據進行后續連接。特別是，**master** 將向服務器發出內部 **X.509** 證書，向客戶端發出臨時認證令牌。 ## Encryption（加密） ## **Kudu** 允許使用 **TLS?**對服務器之間以及客戶端和服務器之間的所有通信進行加密。可以在?**Kudu**?**servers**?上使用?`**--rpc-encryption** 標記來配置加密`，它可以被設置為?**`required`**，**`optional?`**或?**`disabled`**。默認情況下，該標志設置為?**`optional`**。當配置為?`**required** 時，`**Kudu** 將拒絕未加密的連接。當配置為?`**optional** 時`，**Kudu** 將嘗試使用加密。與認證相同，當配置為?**`disabled?`**或針對?`**optional** 的情況下加密失敗`，**Kudu** 將只允許來自受信任的子網的未加密的連接，并拒絕公開可路由的 **IP** 的任何未加密的連接。要保護群集，請使用?**`--rpc-encryption=required`**。警告 : **Kudu** 將自動關閉本地環回連接上的加密，因為來自這些連接的流量不會從外部暴露出來。這允許像 **Spark** 和 **Impala** 這樣的位置感知計算框架避免加密開銷，同時確保數據的機密性。 ## Coarse-Grained Authorization（粗粒度授權） **Kudu** 支持基于認證的客戶端 **Kerberos?**主體（即用戶或服務）對客戶端請求進行粗粒度授權。可以配置的兩個級別的訪問是 :? * **Superuser**（超級用戶）- 被授權為超級用戶的?**principals?**能夠執行某些管理功能，例如使用?**`kudu?`**命令行工具診斷或修復群集問題。 * **User**（用戶）-?授權為用戶 **principals?**都能夠在 **Kudu** 集群中訪問和修改所有數據。這包括 **create**（創建），**drop**（刪除）和 **alter**（更改）表以及 **read**（讀取），**insert**（插入），**update**（更新）和 **delete**（刪除）數據的功能。警告 : 在內部，**Kudu** 針對守護進程本身具有第三的訪問級別。這樣可以確保用戶無法連接到集群，并可以作為 **tablet server**。使用白名單樣式的訪問控制列表（**ACL**）授予訪問級別，對于兩個級別中的每一級都可以訪問。每個訪問控制列表指定以逗號分隔的用戶列表，或者可以設置?`*****?`為表示所有經過身份驗證的用戶能夠以指定級別獲得訪問權限。有關示例，請參閱下面的?[配置安全的 Kudu 群集](http://kudu.apache.org/docs/security.html#configuration)。警告 : 用戶 **ACL** 的默認值是 `*?`允許所有用戶訪問集群。但是，如果啟用了身份驗證，這仍然限制對只能通過 **Kerberos** 成功驗證的用戶的訪問。與 **Kudu server** 在同一網絡上的未認證用戶將無法訪問集群。 ## **Web UI Encryption**（加密）可以通過為每個服務器提供 **TLS?**證書，將 **Kudu Web UI** 配置為使用安全的 **HTTPS?**加密。有關 **Web UI HTTPS** 配置的更多信息，請參閱?[配置安全的 Kudu 集群](http://kudu.apache.org/docs/security.html#configuration)。 ## Web UI Redaction 為了防止在 **Web UI** 中暴露敏感數據，所有行數據都被修改。表元數據，如表名，列名和分區信息不會被修改。可以通過在 **Kudu server?**上設置?**`--webserver-enabled=false` **`標記`來完全禁用 **Web UI?**。警告 : 禁用 **Web UI** 也將禁用 **REST endpoints**，例如?**`/metrics`**。監控系統依靠這些 **endpoints** 來收集 **metrics** 指標數據。 ### Log Security（日志安全）為了防止敏感數據包含在 **Kudu?**服務器日志中，默認情況下會修改所有行數據。該功能可以配置?`**--redact** 標記來關閉`。 ## [Configuring a Secure Kudu Cluster](http://kudu.apache.org/docs/security.html#configuration)（配置安全的 Kudu 集群）應在所有服務器（**master** 和 **tablet server**）上設置以下配置參數，以確保 **Kudu?**集群安全 :? ``` # Connection Security #-------------------- --rpc-authentication=required --rpc-encryption=required --keytab-file=<path-to-kerberos-keytab> # Web UI Security #-------------------- --webserver-certificate-file=<path-to-cert-pem> --webserver-private-key-file=<path-to-key-pem> # optional --webserver-private-key-password-cmd=<password-cmd> # If you prefer to disable the web UI entirely: --webserver-enabled=false # Coarse-grained authorization #-------------------------------- # This example ACL setup allows the 'impala' user as well as the # 'nightly_etl_service_account' principal access to all data in the # Kudu cluster. The 'hadoopadmin' user is allowed to use administrative # tooling. Note that, by granting access to 'impala', other users # may access data in Kudu via the Impala service subject to its own # authorization rules. --user-acl=impala,nightly_etl_service_account --superuser-acl=hadoopadmin ``` 有關這些標記的更多信息，請參見配置標記指南。 ## Known Limitations（已知限制） **Kudu** 有一些已知的安全限制 :? **Long-lived Tokens**（常用的令牌） ?**Java Kudu** 客戶端在初始 **tokens**（令牌）到期后不會自動請求新的 **authn?tokens**（令牌），因此不支持長期存在的安全集群中的 **Java?**客戶端。然而，針對 **C** 的 **Kudu** 客戶端會自動請求新的 **authn tokens** 令牌，因此支持安全集群中長久的 **C?**客戶端（即超出 **authn token?**令牌生存期）。 **Custom Kerberos Principal**（自定義 kerberos 主體） **Kudu** 不支持為 **Kudu** 進程設置自定義服務?**principal**。**principal?**必須是 '**kudu**'。 **External PKI** **Kudu** 不支持外部頒發的內部線路加密證書（服務器到服務器和客戶端到服務器）。細粒度授權 **Kudu?**無法根據操作類型或目標（表，列等）限制訪問。ACL 目前不支持基于組中成員資格的授權。 **On-disk Encryption**（磁盤加密） **Kudu** 沒有內置的磁盤加密。然而，**Kudu?**可以使用全盤加密工具，如 **dm-crypt**。 **Web UI Authentication（認證）** **Kudu Web UI** 缺少基于 **Kerberos** 的身份驗證（**SPNEGO**），因此不能基于 **Kerberos** 的 **principals?**進行訪問限制。 **Flume Integration（Flume 集成）** 需要驗證或加密的安全 **Kudu?**集群不支持 **Flume** 集成。