2. 程式人生 > >《Spark 官方文件》Spark安全性

《Spark 官方文件》Spark安全性

阿新 發佈:2018-12-23

Spark安全性

Spark目前已經支援以共享祕鑰的方式進行身份認證。開啟身份認證配置引數為 spark.authenticate 。這個配置引數決定了Spark通訊協議是否使用共享祕鑰做身份驗證。驗證過程就是一個基本的握手過程,確保通訊雙方都有相同的祕鑰並且可以互相通訊。如果共享祕鑰不同,雙方是不允許通訊的。共享祕鑰可用以下方式建立:

  • 對於以YARN 方式部署的Spark,將 spark.authenticate 設為true可以自動生成並分發共享祕鑰。每個Spark應用會使用唯一的共享祕鑰。
  • 而對於其他部署型別,需要在每個節點上設定 spark.authenticate.secret 引數。這個祕鑰將會在由所有 Master/Workers以及各個Spark應用共享。

Web UI

Spark UI 也可以通過配置 spark.ui.filters 來使用 javax servlet filters 確保安全性,因為某些使用者可能希望web UI上的某些資料應該保密,並對其他使用者不可見。使用者可以自定義 javax servlet filter 來對登陸使用者進行認證,Spark會根據使用者的ACL(訪問控制列表)來確保該登陸使用者有許可權訪問某個Spark應用的web UI。Spark ACL的行為可由 spark.acls.enable 和 spark.ui.view.acls 共同控制。注意,啟動Spark應用的使用者總是會有許可權訪問該應用對應的UI。而在YARN模式下,Spark web UI會使用YARN的web應用代理機制,通過Hadoop過濾器進行認證。

Spark還支援修改執行中的Spark應用對應的ACL以便更改其許可權控制,不過這可能會導致殺死應用或者殺死任務的動作。這一特性由 spark.acls.enable 和 spark.modify.acls 共同控制。注意,如果你需要web UI的認證,比如為了能夠在web UI上使用殺死應用的按鈕,那麼就需要將使用者同時新增到modify ACL和view ACL中。在YARN上,控制使用者修改許可權的modify ACL是通過YARN介面傳進來的。

Spark可以允許多個管理員共同管理ACL,而且這些管理員總是能夠訪問和修改所有的Spark應用。而管理員本身是由 spark.admin.acls 配置的。在一個共享的多使用者叢集中,你可能需要配置多個管理員,另外,該配置也可以用於支援開發人員除錯Spark應用。

事件日誌

如果你啟用了事件日誌(event logging),那麼這些日誌對應的目錄(spark.eventLog.dir)需要事先手動建立並設定好許可權。如果你要限制這些日誌檔案的許可權,首先還是要將日誌目錄的許可權設為 drwxrwxrwxt,目錄owner應該是啟動history server的超級使用者,對應的組限制為該超級使用者所在組。這樣其他所有使用者就只能往該目錄下寫日誌,但同時又不能刪除或改名。事件日誌檔案只有在使用者或者使用者組具有讀寫許可權時才能寫入。

加密

Spark對Akka和HTTP協議(廣播和檔案伺服器中使用)支援SSL。同時,對資料塊傳輸服務(block transfer service)支援SASL加密。Spark web UI暫時還不支援任何加密。

Spark的臨時資料儲存,如:混洗中間檔案、快取資料或其他應用相關的臨時檔案,目前也沒有加密。如果需要加密這些資料,只能通過配置叢集管理器將資料儲存到加密磁碟上。

SSL配置

Spark SSL相關配置是層級式的。使用者可以配置SSL的預設配置,以便支援所有的相關通訊協議,當然,如果設定了針對某個具體協議配置值,其值將會覆蓋預設配置對應的值。這種方式主要是為了方便使用者,使用者可以輕鬆地為所有協議都配置好預設值,同時又不會影響針對某一個具體協議的特殊配置需求。通用的SSL預設配置在 spark.ssl 這一配置名稱空間下,對於Akka的SSL配置,在spark.ssl.akka下,而對用於廣播和檔案伺服器中的HTTP協議,其配置在 spark.ssl.fs 下。詳細的清單見配置指南(configuration page)。

SSL必須在每個節點上都配置好,並且包括各個使用特定通訊協議的相關模組。

YARN模式

key-store 檔案可以由客戶端準備好,然後作為Spark應用的一部分分發到各個執行器(executor)上使用。使用者也可以在Spark應用啟動前,通過配置 spark.yarn.dist.files 或者 spark.yarn.dist.archives 來部署key-store檔案。這些檔案傳輸過程的加密是由YARN本身負責的,和Spark就沒什麼關係了。

對於一些長期執行並且可以寫HDFS的Spark應用,如:Spark Streaming 上的應用,可以用 spark-submit 的 –principal 和 –keytab 引數分別設定principal 和 keytab 資訊。keytab檔案將會通過 Hadoop Distributed Cache(如果YARN配置了 SSL並且HDFS啟用了加密,那麼分散式快取的傳輸也會被加密) 複製到Application Master所在機器上。Kerberos的登陸資訊將會被principal和keytab週期性地重新整理,同時HDFS所需的代理token也會被週期性的重新整理,這樣Spark應用就能持續地寫入HDFS了。

獨立模式

獨立模式下,使用者需要為master和worker分別提供key-store和相關配置選項。這些配置可以通過在SPARK_MASTER_OPTS 和 SPARK_WORKER_OPTS,或者 SPARK_DEAMON_JAVA_OPTS環境變數中新增相應的java系統屬性來設定。獨立模式下,使用者可以通過worker的SSL設定來改變執行器(executor)的配置,因為這些執行器程序都是worker的子程序。不過需要注意的是,執行器如果需要啟用本地SSL配置值(如:從worker程序繼承而來的環境變數),而不是使用者在客戶端設定的值,就需要將 spark.ssl.userNodeLocalConf 設為 true。

準備key-stores

key-stores 檔案可以由 keytool 程式生成。keytool 相關參考文件見這裡:here。獨立模式下,配置key-store和trust-store至少有這麼幾個基本步驟:

  • 為每個節點生成一個祕鑰對
  • 匯出各節點祕鑰對中的公匙(public key)到一個檔案
  • 將所有這些公匙匯入到一個 trust-store 檔案中
  • 將該trust-store檔案釋出到所有節點

配置SASL加密

啟用認證後(spark.authenticate),資料塊傳輸服務(block transfer service)可以支援SASL加密。如需啟用SASL加密的話,還需要在 Spark 應用中設定 spark.authenticate.enableSaslEncryption 為 true。

如果是開啟了外部混洗服務(external shuffle service),那麼只需要將 spark.network.sasl.serverAlwaysEncrypt 設為true即可禁止非加密的網路連線。因為這個配置一旦啟用,所有未使用 SASL加密的Spark應用都無法連線到外部混洗服務上。

配置網路安全埠

Spark計算過程中大量使用網路通訊,而有些環境中對網路防火牆的設定要求很嚴格。下表列出來Spark用於通訊的一些主要埠,以及如何配置這些埠。

僅獨立部署適用

訪問源 訪問目標 預設值 用途 配置 注意
Browser Standalone Master 8080 Web UI spark.master.ui.port /
SPARK_MASTER_WEBUI_PORT		 基於Jetty。僅獨立模式有效。
Browser Standalone Worker 8081 Web UI spark.worker.ui.port /
SPARK_WORKER_WEBUI_PORT		 基於Jetty。僅獨立模式有效。
Driver /
Standalone Worker		 Standalone Master 7077 提交作業 / 合併叢集 SPARK_MASTER_PORT 基於Akka。設為0表示隨機。僅獨立模式有效。
Standalone Master Standalone Worker (random) 排程執行器 SPARK_WORKER_PORT 基於Akka。設為0表示隨機。僅獨立模式有效。

所有叢集管理器適用

訪問源 訪問目標 預設值 用途 配置 注意
Browser Application 4040 Web UI spark.ui.port 基於Jetty
Browser History Server 18080 Web UI spark.history.ui.port 基於Jetty
Executor /
Standalone Master		 Driver (random) 連線Spark應用 / 執行器狀態變化通知 spark.driver.port 基於Akka。設為0表示隨機。
Driver Executor (random) 任務排程 spark.executor.port 基於Akka。設為0表示隨機。
Executor Driver (random) 傳輸檔案和jar包的檔案伺服器 spark.fileserver.port 基於Jetty
Executor Driver (random) HTTP廣播 spark.broadcast.port 基於Jetty。TorrentBroadcast通過block manager傳送資料,所以不會用這個埠。
Executor Driver (random) 類檔案伺服器 spark.replClassServer.port 基於Jetty。僅Spark shell使用。
Executor / Driver Executor / Driver (random) 資料塊管理器埠 spark.blockManager.port 基於ServerSocketChannel使用原始socket通訊。

相關推薦

Spark 官方Spark安全性

Spark安全性 Spark目前已經支援以共享祕鑰的方式進行身份認證。開啟身份認證配置引數為 spark.authenticate 。這個配置引數決定了Spark通訊協議是否使用共享祕鑰做身份驗證。驗證過程就是一個基本的握手過程,確保通訊雙方都有相同的祕鑰並且可以互相通訊。如果共享祕鑰不同,雙方是不允許通訊

Spark官方Spark操作指南

原文連結   譯者:小村長 Spark–Quick Start 本專案是 Apache Spark官方文件的中文翻譯版,致力於打造一個全新的大資料處理平臺來滿足大資料處理和分析的各個使用場景,本次翻譯主要針對對Spark感興趣和致力於從事大資料方法開發的人員提供有價值的中文資料,希望能夠對大家

Spark 官方

我來翻譯Spark Programming Guide: detailed overview of Spark in all supported languages (Scala, Java, Python, R) 翻譯好的翻譯檔案怎麼上傳?

Spark 官方Spark快速入門

快速入門 本教程是對Spark的一個快速簡介。首先,我們通過Spark的互動式shell介紹一下API(主要是Python或Scala),然後展示一下如何用Java、Scala、Python寫一個Spark應用。更完整參考看這裡:programming guide 首先,請到Spark website下載一

Spark 官方》硬體配置

硬體配置 Spark開發者們常常被問到的一個問題就是:如何為Spark配置硬體。我們通常會給出以下的建議,但具體的硬體配置還依賴於實際的使用情況。 儲存系統 因為絕大多數Spark作業都很可能是從外部儲存系統載入輸入資料(如:HDFS或者HBase),所以最好把Spark部署在離這些儲存比較近的地方。建

Spark 官方》機器學習庫(MLlib)指南

我們推薦您使用spark.ml,因為基於DataFrames的API更加的通用而且靈活。不過我們也會繼續支援spark.mllib包。使用者可以放心使用,spark.mllib還會持續地增加新的功能。不過開發者需要注意,如果新的演算法能夠適用於機器學習管道的概念,就應該將其放到spark.ml包中,如:特

Spark官方》叢集模式概覽

叢集模式概覽 本文簡要描述了Spark在叢集中各個元件如何執行。想了解如何在叢集中啟動Spark應用,請參考application submission guide 。 元件 Spark應用在叢集上執行時,包括了多個獨立的程序,這些程序之間通過你的主程式(也叫作驅動器,即:driver)中的SparkCo

Spark官方》提交Spark應用

提交Spark應用 spark-submit指令碼在Spark的bin目錄下,可以利用此指令碼向叢集提交Spark應用。該指令碼為所有Spark所支援的叢集管理器( cluster managers)提供了統一的介面,因此,你基本上可以用同樣的配置和指令碼,向不同型別的叢集管理器提交你的應用。 打包應用程

Spark官方Spark Streaming程式設計指南

spark-1.6.1 [原文地址] Spark Streaming程式設計指南 概覽 Spark Streaming是對核心Spark API的一個擴充套件,它能夠實現對實時資料流的流式處理,並具有很好的可擴充套件性、高吞吐量和容錯性。Spark Streaming支援從多種資料來源提取資

Spark 官方Spark程式設計指南

概述 總體上來說,每個Spark應用都包含一個驅動器(driver)程式,驅動器執行使用者的main函式,並在叢集上執行各種並行操作。 Spark最重要的一個抽象概念就是彈性分散式資料集(resilient distributed dataset – RDD),RDD是一個可分割槽的元素集合,其包含的元素可

Spark官方》在YARN上執行Spark

原文連結 Spark在 0.6.0版本後支援在YARN(hadoop NextGen)上執行,並且在後續版本中不斷改進。 在YARN上啟動Spark 首先,確認 HADOOP_CONF_DIR或YARN_CONF_DIR指向的包含了Hadoop叢集的配置檔案。這些配置用於操作HDFS和連線Y

Spark 官方Spark作業排程

概覽 Spark有好幾種計算資源排程的方式。首先,回憶一下叢集模式概覽(cluster mode overview)中每個Spark應用(包含一個SparkContext例項)中運行了一些其獨佔的執行器(executor)程序。叢集管理器提供了Spark應用之間的資源排程(scheduling across

Spark 官方Spark獨立模式

Spark獨立模式 Spark除了可以在Mesos和YARN叢集上執行之外,還支援一種簡單的獨立部署模式。獨立部署模式下,你既可以手工啟動(手動執行master和workers),也可以利用我們提供的啟動指令碼(launch scripts)。同時,獨立部署模式下,你可以在單機上執行這些程式,以方便測試。

Spark 官方Spark SQL, DataFrames 以及 Datasets 程式設計指南

spark-1.6.0 [原文地址] Spark SQL, DataFrames 以及 Datasets 程式設計指南 概要 Spark SQL是Spark中處理結構化資料的模組。與基礎的Spark RDD API不同,Spark SQL的介面提供了更多關於資料的結構資訊和計算任務的執

Spark 官方》在Amazon EC2上執行Spark

在Amazon EC2上執行Spark Spark的ec2目錄下有一個spark-ec2指令碼,可以幫助你在Amazon EC2上啟動、管理、關閉Spark叢集。該指令碼能在EC2叢集上自動設定好Spark和HDFS。本文將會詳細描述如何利用spark-ec2指令碼來啟動和關閉叢集,以及如何在叢集提交作業。

Spark 官方Spark配置

Spark配置 Spark有以下三種方式修改配置: Spark properties (Spark屬性)可以控制絕大多數應用程式引數,而且既可以通過 SparkConf 物件來設定,也可以通過Java系統屬性來設定。 Environment variables (環境變數)可以指定一些各個機器相關的設定,

Spark 官方》監控和工具

spark-1.6.0 原文地址 監控和工具 監控Spark應用有很多種方式:web UI,metrics 以及外部工具。 Web介面 每個SparkContext都會啟動一個web UI,其預設埠為4040,並且這個web UI能展示很多有用的Spark應用相關資訊。包括: 一個stage

Spark 官方》在YARN上執行Spark

在YARN上執行Spark 對 YARN (Hadoop NextGen) 的支援是從Spark-0.6.0開始的,後續的版本也一直持續在改進。 在YARN上啟動 首先確保 HADOOP_CONF_DIR 或者 YARN_CONF_DIR 變數指向一個包含Hadoop叢集客戶端配置檔案的目錄。這些配置用於

Spark 官方Spark調優

Spark調優 由於大部分Spark計算都是在記憶體中完成的,所以Spark程式的瓶頸可能由叢集中任意一種資源導致,如:CPU、網路頻寬、或者記憶體等。最常見的情況是,資料能裝進記憶體,而瓶頸是網路頻寬;當然,有時候我們也需要做一些優化調整來減少記憶體佔用,例如將RDD以序列化格式儲存(storing RD

Spark 官方》在Mesos上執行Spark

spark-1.6.0 [原文地址] 在Mesos上執行Spark Spark可以在由Apache Mesos 管理的硬體叢集中執行。 在Mesos叢集中使用Spark的主要優勢有: 可以在Spark以及其他框架(frameworks)之間動態劃分資源。 可以同時部署多個Spark例項,且各