hdfs 配置集成 RangerKMS
修改 hdfs-site 配置:
dfs.encryption.key.provider.uri=kms://http@${KMS_DOMAIN}:${KMS_PORT}/kms
${KMS_DOMAIN}为 公共安全集群id.ranger.rangerkms.vip.com,比如qsimo5nh.ranger.rangerkms.vip.com
${KMS_PORT}为 公共安全集群对应的 rangerkms-lb-service的端口
修改完配置后重启 HDFS 服务和 YARN 服务。
登录 ranger ui
登录 ranger ui 页面
账号:keyadmin。
密码:keyadmin。
在【Encryption】页面可创建 key。
选择【Access Manager】中对应的服务名称,比如 kmsdev。
新增Key:
创建加密区
hadoop fs -mkdir /test_kms
hadoop fs -mkdir /test_kms/test_1
hadoop fs -mkdir /test_kms/test_2
加密区1:hdfs crypto -createZone -keyName test_hdfs_1 -path /test_kms/test_1
加密区2:hdfs crypto -createZone -keyName test_hdfs_2 -path /test_kms/test_2
上传对应的文件至加密区1和2,hadoop 用户可直接查看文件内容。
加密区文件查看
使用 Kudu 用户,无权限查看:
ranger ui 上新增 Kudu 用户对 test_hdfs_1 的 key 的解密权限,然后再以 kudu 用户去访问,可以查看 test_hdfs_1 对应的加密区1的文件,但是无法访问加密区2的文件。
底层文件查看
- hdfs 快照目录文件为加密内容:
- 查看 datanode 数据目录的文件,为加密内容:
