hdfs—“客户端和服务器之间没有公共保护层”,同时尝试与kerberized hadoop集群通信

tpgth1q7  于 2021-06-02  发布在  Hadoop
关注(0)|答案(1)|浏览(426)

我正在尝试以编程方式与kerberized(cdh5.3/hdfs2.5.0)的hadoop集群通信。
我在客户端有一个有效的kerberos令牌。但我得到一个错误如下,“没有共同的保护层之间的客户端和服务器”。
这个错误意味着什么?有什么方法可以解决它吗?
这和hdfs-5688有关吗?该票证似乎暗示必须将属性“hadoop.rpc.protection”设置为“authentication”(也可以根据例如this)。
是否需要在群集中的所有服务器上设置此选项,然后群集中反弹?我不容易访问集群,所以我需要了解“hadoop.rpc.protection”是否是真正的原因。至少根据core-default.xml文档,“authentication”应该是默认使用的值。
java.io.ioexception:本地异常失败:java.io.ioexception:无法为principal1/server1.acme设置连接。net@.acme.net 到server2.acme.net/10.xx.。:8020; 主机详细信息:本地主机是:“some host.acme.net/168.xx..xx”;目标主机为:“server2.acme.net”:8020;

at org.apache.hadoop.net.NetUtils.wrapException(NetUtils.java:764)

    at org.apache.hadoop.ipc.Client.call(Client.java:1415)

    at org.apache.hadoop.ipc.Client.call(Client.java:1364)

    at org.apache.hadoop.ipc.ProtobufRpcEngine$Invoker.invoke(ProtobufRpcEngine.java:206)

    at com.sun.proxy.$Proxy24.getFileInfo(Unknown Source)

    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)

    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)

    at java.lang.reflect.Method.invoke(Method.java:498)

    at org.apache.hadoop.io.retry.RetryInvocationHandler.invokeMethod(RetryInvocationHandler.java:187)

    at org.apache.hadoop.io.retry.RetryInvocationHandler.invoke(RetryInvocationHandler.java:102)

    at com.sun.proxy.$Proxy24.getFileInfo(Unknown Source)

    at org.apache.hadoop.hdfs.protocolPB.ClientNamenodeProtocolTranslatorPB.getFileInfo(ClientNamenodeProtocolTranslatorPB.java:707)

    at org.apache.hadoop.hdfs.DFSClient.getFileInfo(DFSClient.java:1785)

    at org.apache.hadoop.hdfs.DistributedFileSystem$17.doCall(DistributedFileSystem.java:1068)

    at org.apache.hadoop.hdfs.DistributedFileSystem$17.doCall(DistributedFileSystem.java:1064)

    at org.apache.hadoop.fs.FileSystemLinkResolver.resolve(FileSystemLinkResolver.java:81)

    at org.apache.hadoop.hdfs.DistributedFileSystem.getFileStatus(DistributedFileSystem.java:1064)

    at org.apache.hadoop.fs.FileSystem.exists(FileSystem.java:1398)

    ... 11 more

原因:java.io.ioexception:无法为principal1/server1.acme设置连接。net@.acme.net 到server2.acme.net/10.xx.。:8020;

at org.apache.hadoop.ipc.Client$Connection$1.run(Client.java:671)

    at java.security.AccessController.doPrivileged(Native Method)

    at javax.security.auth.Subject.doAs(Subject.java:422)

    at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1614)

    at org.apache.hadoop.ipc.Client$Connection.handleSaslConnectionFailure(Client.java:642)

    at org.apache.hadoop.ipc.Client$Connection.setupIOstreams(Client.java:725)

    at org.apache.hadoop.ipc.Client$Connection.access$2800(Client.java:367)

    at org.apache.hadoop.ipc.Client.getConnection(Client.java:1463)

    at org.apache.hadoop.ipc.Client.call(Client.java:1382)

    ... 31 more

原因:javax.security.sasl.saslexception:客户端和服务器之间没有公共保护层

at com.sun.security.sasl.gsskerb.GssKrb5Client.doFinalHandshake(GssKrb5Client.java:251)

    at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:186)

    at org.apache.hadoop.security.SaslRpcClient.saslEvaluateToken(SaslRpcClient.java:483)

    at org.apache.hadoop.security.SaslRpcClient.saslConnect(SaslRpcClient.java:427)

    at org.apache.hadoop.ipc.Client$Connection.setupSaslConnection(Client.java:552)

    at org.apache.hadoop.ipc.Client$Connection.access$1800(Client.java:367)

    at org.apache.hadoop.ipc.Client$Connection$2.run(Client.java:717)

    at org.apache.hadoop.ipc.Client$Connection$2.run(Client.java:713)

    at java.security.AccessController.doPrivileged(Native Method)

    at javax.security.auth.Subject.doAs(Subject.java:422)

    at org.apache.hadoop.security.UserGroupInformation.doAs(UserGroupInformation.java:1614)

    at org.apache.hadoop.ipc.Client$Connection.setupIOstreams(Client.java:712)

    ... 34 more
nfs0ujit

nfs0ujit1#

为了修复来自sasl的“客户端和服务器之间没有公共保护”错误,我需要将“hadoop.rpc.protection”设置为与集群服务器端设置的值相同的值。在这种情况下,它恰好是“隐私”。
此外,集群是为ha配置的,因此我必须在hdfs uri(“fs.defaultfs”)和“dfs.namenode.kerberos.principal”属性中选择正确的主机名:

Configuration config = new Configuration();
config.set("fs.defaultFS", "hdfs://host1.acme.com:8020");
config.set("hadoop.security.authentication", "kerberos");
config.set("hadoop.rpc.protection", "privacy");
// Need this or we get the error "Server has invalid Kerberos principal":
config.set("dfs.namenode.kerberos.principal",  
    "hdfs/host1.acme.com@ACME.DYN.ROOT.NET");

相关问题