Isilon: RangerKMS 및 Active Directory Kerberos를 사용하여 Hadoop 암호화 영역을 생성할 수 없음

OneFS 8.2, Ambari 2.7.3 및 HDP 3.1.4.0-315를 사용하여 Hadoop 암호화 영역을 생성하려고 하면 키를 가져올 수 없기 때문에 영역 생성이 실패합니다.

HDP 클러스터가 설치되고 Active Directory로 Kerberized, Ranger KMS와 함께 배포된 Ranger. 키는 KMS

에서 생성됩니다[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
KeyProvider에 대한 키 나열: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb

암호화 영역을 생성할 때 다음 오류가 표시됩니다.
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
암호화 영역 생성 호출 실패: GetKeyMetaData를 사용합니다. KMS는 HTTP 상태를 반환합니다. 403; 원격 예외 메시지: 사용자:ISILONS-2G88EXB$는 'keya'에서 'GET_METADATA'를 할 수 없습니다. 요청: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs

GET_METADATA에 액세스할 수 없는 참조된 사용자 계정은 AD 머신 오브젝트 계정입니다. HDFS 서비스 계정이 아닌 ISILONS-2G88EXB$입니다. 이 AD 오브젝트를 사용자 계정 권한으로 Ranger KMS에 추가할 수 없습니다. $로 인해 추가가 차단됩니다.

HDFS 계정이 필요한 Get_Metadata 권한으로 KMS에 추가됨(스크린샷 참조)



 pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
사용자
이름: FOOisilons-2g88exb$
UID:
1000008 SID: S-1-5-21-856609431-2249676204-1531082451-1738
디스크: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zone: zone3
권한: -
기본 그룹
이름: FOOdomain 컴퓨터 < -- 컴퓨터 개체
GID:
1000003 SID: S-1-5-21-856609431-2249676204-1531082451-515
디스크: S-1-5-21-856609431-2249676204-1531082451-515
보충 ID
이름: 인증된 사용자
SID: S-1-5-11



위의 동작에 따라 Ranger KMS 및 AD를 사용하는 TDE는 현재 지원되지 않습니다.

HDFS 참조 및 TDE 백서 가이드:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf

PowerScale OneFS HDFS 참조 가이드(영문)