安全叢集訪問非安全叢集問題記錄
本文描述安全叢集訪問非安全叢集遇到的問題及分析。
案例
使用Hive對映Phoenix表,其中Hive服務在啟用kerberos的叢集中,Phoenix在另一個未啟用Kerberos的叢集中。
報錯及分析
HUE返回報錯:
Error while processing statement: FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.DDLTask. MetaException(message:Failed after attempts=11, exceptions: Thu Dec 03 08:52:11 CST 2020, RpcRetryingCaller{globalStartTime=1606956693172, pause=100, maxAttempts=11}, org.apache.hadoop.hbase.client.RetriesExhaustedException: Failed after attempts=11, exceptions: Thu Dec 03 08:51:33 CST 2020, RpcRetryingCaller{globalStartTime=1606956693172, pause=100, maxAttempts=11}, javax.security.sasl.SaslException: Call to transfer01.bigdata.zxxk.com/10.111.118.166:16020 failed on local exception: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER)] [Caused by javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER)]] Thu Dec 03 08:51:33 CST 2020, RpcRetryingCaller{globalStartTime=1606956693172, pause=100, maxAttempts=11}, java.io.IOException: Call to transfer01.bigdata.zxxk.com/10.111.118.166:16020 failed on local exception: java.io.IOException: Can not send request because relogin is in progress.
......
分析:
可以看出,這個是Kerberos認證問題,主要資訊是:Server not found in Kerberos database。
但是這裡沒有提示這個 Server 是啥。
經過觀察/var/log/krb5kdc.log,發現報錯如下:
Dec 03 09:12:58 utility1.bigdata.zxxk.com krb5kdc[2740](info): AS_REQ (4 etypes {18 17 16 23}) 10.111.116.226: ISSUE: authtime 1606957978, etypes {rep=18 tkt=18 ses=18}, hive/gateway01.bigdata.zxxk.com@BIGDATA.ZXXK.COM for krbtgt/BIGDATA.ZXXK.COM@BIGDATA.ZXXK.COM
Dec 03 09:12:59 utility1.bigdata.zxxk.com krb5kdc[2739](info): TGS_REQ (4 etypes {18 17 16 23}) 10.111.116.226: LOOKING_UP_SERVER: authtime 0, hive/gateway01.bigdata.zxxk.com@BIGDATA.ZXXK.COM for hbase/transfer01.bigdata.zxxk.com@BIGDATA.ZXXK.COM, Server not found in Kerberos database
Dec 03 09:12:59 utility1.bigdata.zxxk.com krb5kdc[2739](info): TGS_REQ (4 etypes {18 17 16 23}) 10.111.116.226: LOOKING_UP_SERVER: authtime 0, hive/gateway01.bigdata.zxxk.com@BIGDATA.ZXXK.COM for hbase/transfer01.bigdata.zxxk.com@BIGDATA.ZXXK.COM, Server not found in Kerberos database
......
分析:
其中hbase/transfer01.bigdata.zxxk.com@BIGDATA.ZXXK.COM,在Kerberos資料庫中不存在,而 transfer01.bigdata.zxxk.com 是未啟用Kerberos叢集的一個主機。
解決思路(未驗證)
本思路未驗證,請勿在生產環境嘗試。
由於Kerberos的機制,非認證主機和服務無法建立連線,所以如果想要解決上述問題,需要將目標主機加入Kerberos認證管理,並建立相應的服務。
相關文章
- Python使用 Kubernetes API 訪問叢集PythonAPI
- redis 叢集常見問題 QARedis
- mysql叢集02:幾個問題MySql
- ngnix叢集產生的問題
- K8S- 配置多叢集訪問K8S
- kubernetes之使用http rest api訪問叢集HTTPRESTAPI
- 管理 ES 叢集:叢集與外部間的安全通訊
- 管理 ES 叢集:叢集內部間的安全通訊
- 【問題追查】mc叢集寫入恍惚問題排查
- 診斷叢集的潛在問題
- repmgr 叢集雙主問題處理
- zookeeper叢集奇偶數節點問題
- kubernetes使用http rest api訪問叢集之使用postman工具訪問 apiserverHTTPRESTAPIPostmanServer
- 解決叢集 Yellow 與 Red 的問題
- Hadoop叢集之淺析安全模式Hadoop模式
- k8s——叢集環境問題合集K8S
- k8s叢集訪問外部域名不穩定K8S
- Zookeeper叢集 + Kafka叢集Kafka
- 基於kerberos的hadoop安全叢集搭建ROSHadoop
- 開啟安全功能 ES 叢集就安全了嗎?
- K8s 實踐 | 如何解決多租戶叢集的安全隔離問題?K8S
- 搭建zookeeper叢集(偽叢集)
- CCE叢集VPC網路模式下幾種訪問場景模式
- 在kubernetes 叢集內訪問k8s API服務K8SAPI
- ZooKeeper 05 - ZooKeeper 叢集的腦裂問題(Split Brain)AI
- 解決SpringBoot連線Nacos叢集報400問題Spring Boot
- 【Redis叢集原理專題】分析一下相關的Redis叢集模式下的腦裂問題!Redis模式
- Kubernetes 多叢集管理平臺 OCM v0.9.0 釋出:進一步改善託管叢集安全性問題
- zookeeper叢集及kafka叢集搭建Kafka
- 線上Redis-Docker叢集出現物理機崩潰的一次問題記錄RedisDocker
- cephadm訪問ceph叢集的方式及管理員節點配置案例
- ES叢集搭建問題:memory locking requested for elasticsearch process but memory is not lockedElasticsearch
- alertmanager叢集莫名傳送resolve訊息的問題探究
- Kafka叢集訊息積壓問題及處理策略Kafka
- Redis系列:搭建Redis叢集(叢集模式)Redis模式
- linux下搭建ZooKeeper叢集(偽叢集)Linux
- redis偽叢集配置Cluster叢集模式Redis模式
- Hadoop叢集面試題Hadoop面試題