Isilon：无法使用 RangerKMS 和 Active Directory Kerberos 创建 Hadoop 加密分区

尝试使用 OneFS 8.2、Ambari 2.7.3 和 HDP 3.1.4.0-315 创建 Hadoop 加密分区时，由于我们无法获取密钥，创建分区失败。

安装了 HDP 群集并使用 Active Directory 对其进行 Kerberized，使用 Ranger KMS 部署了 Ranger。密钥是在 KMS

[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com：9292/kms
Listing keys for KeyProvider： org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya
keyb

在创建加密分区时，我们看到以下错误：
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Create Encryption Zone call failed：GetKeyMetaData：KMS 返回 HTTP 状态：403;远程异常消息：User：ISILONS-2G88EXB$ 不允许在“keya”上执行“GET_METADATA”;请求：http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs

没有 GET_METADATA 访问权限的引用用户帐户是 AD 计算机对象帐户：ISILONS-2G88EXB$，不是 hdfs 服务帐户无法将此 AD 对象作为用户帐户权限添加到 Ranger KMS 中，$ 会阻止添加。

在KMS中添加了hdfs帐户，具有所需的Get_Metadata权限，（请参见屏幕截图）



 pipe1-1# isi auth mapping token --zone=zone3 --user=foo\ISILONS-2G88EXB$
User
Name：FOOisilons-2g88exb$
UID：
1000008 SID：S-1-5-21-856609431-2249676204-1531082451-1738
On Disk：S-1-5-21-856609431-2249676204-1531082451-1738
ZID：
5 Zone： zone3
Privileges：-
主要组
名称：FOO域计算机 < -- 计算机对象
GID：
1000003 SID：S-1-5-21-856609431-2249676204-1531082451-515
On Disk：S-1-5-21-856609431-2249676204-1531082451-515
补充身份
名称：经过身份验证的用户
SID：S-1-5-11



基于上述行为，目前不支持带有 Ranger KMS 和 AD 的 TDE。

HDFS 参考和 TDE 白皮书指南：
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf

PowerScale OneFS HDFS 参考指南