Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ MapReduce Service/ Guía del usuario/ Guía de operación del FusionInsight Manager (aplicable a 3.x)/ Gestión de la seguridad/ Mejoras de seguridad/ Configuración de parámetros de seguridad de Hadoop
Actualización más reciente 2023-11-20 GMT+08:00
Ver PDF

Configuración de parámetros de seguridad de Hadoop

Configuración del cifrado del canal de seguridad

Los canales entre componentes no están cifrados de forma predeterminada. Puede establecer los siguientes parámetros para configurar la encriptación del canal de seguridad.

Acceso a la página para establecer parámetros: en FusionInsight Manager, haga clic en Cluster, haga clic en el nombre del clúster deseado, haga clic en Services y haga clic en el servicio de destino. En la página mostrada, haga clic en Configuration y haga clic en All Configurations. Introduzca un nombre de parámetro en el cuadro de búsqueda.

Reinicie los servicios correspondientes para que la modificación surta efecto después de modificar los parámetros de configuración.

Tabla 1 Descripción de parámetros

Servicio

Parámetro

Descripción

Valor predeterminado

HBase

hbase.rpc.protection

Indica si los canales HBase, incluidos los canales de llamada a procedimiento remoto (RPC) para que los clientes HBase accedan al servidor HBase y los canales RPC entre HMaster y RegionServer están cifrados. Si este parámetro se establece en privacy, los canales se cifran y se habilitan las funciones de autenticación, integridad y privacidad. Si este parámetro se establece en integrity, los canales no se cifran y solo se habilitan las funciones de autenticación e integridad. Si este parámetro se establece en authentication, los canales no se cifran, solo se autentican los paquetes y no se requiere integridad ni privacidad.

NOTA:

El modo de privacidad cifra el contenido transmitido, incluida la información sensible, como los tokens de usuario, para garantizar la seguridad del contenido transmitido. Sin embargo, este modo tiene un gran impacto en el rendimiento. En comparación con los otros dos modos, este modo reduce el rendimiento de lectura/escritura en aproximadamente un 60%. Modifique la configuración según los requisitos de seguridad de la empresa. Los elementos de configuración del cliente y del servidor deben ser los mismos.

-

HDFS

dfs.encrypt.data.transfer

Indica si los canales de transferencia de datos de HDFS y los canales para que los clientes accedan a HDFS están cifrados. Los canales de transferencia de datos de HDFS incluyen los canales de transferencia de datos entre DataNodes y los canales de transferencia de datos (DT) para que los clientes accedan a DataNodes. El valor true indica que los canales están cifrados. Los canales no están cifrados por defecto.

false

HDFS

dfs.encrypt.data.transfer.algorithm

Indica si los canales de transferencia de datos de HDFS y los canales para que los clientes accedan a HDFS están cifrados. Este parámetro solo es válido cuando dfs.encrypt.data.transfer está establecido en true.

El valor por defecto es 3des, que indica que el algoritmo 3DES se utiliza para cifrar datos. El valor también se puede establecer en rc4. Sin embargo, para evitar riesgos de seguridad, no se recomienda establecer el parámetro en este valor.

3des

HDFS

hadoop.rpc.protection

Indica si los canales RPC de cada módulo en Hadoop están cifrados. Los canales incluyen:

  • Canales RPC para que los clientes accedan a HDFS
  • Canales RPC entre módulos en HDFS, por ejemplo, entre DataNode y NameNode
  • Canales RPC para que los clientes accedan a YARN
  • Canales RPC entre NodeManager y ResourceManager
  • Canales RPC para Spark para acceder a YARN y HDFS
  • Canales RPC para MapReduce para acceder a YARN y HDFS
  • Canales RPC para que HBase acceda a HDFS

El valor predeterminado es privacy, que indica la transmisión cifrada. El valor authentication indica que la transmisión no está cifrada.

NOTA:

Puede establecer este parámetro en la página de configuración de componentes de HDFS. El ajuste del parámetro es válido globalmente, es decir, el ajuste de si el canal RPC está cifrado tiene efecto en todos los módulos en Hadoop.
  • Modo de seguridad: privacy
  • Modo normal: authentication

Configuración del número máximo de conexiones web simultáneas

Para garantizar la confiabilidad del servidor web, se rechazan nuevas conexiones cuando el número de conexiones de usuario alcanza un umbral específico. Esto evita los ataques DDOS y la falta de disponibilidad del servicio causados por demasiados usuarios que acceden al servidor web al mismo tiempo.

Acceso a la página para establecer parámetros: en FusionInsight Manager, haga clic en Cluster, haga clic en el nombre del clúster deseado, haga clic en Services y haga clic en el servicio de destino. En la página mostrada, haga clic en Configuration y haga clic en All Configurations. Introduzca un nombre de parámetro en el cuadro de búsqueda.

Tabla 2 Descripción de parámetros

Servicio

Parámetro

Descripción

Valor predeterminado

HDFS/Yarn

hadoop.http.server.MaxRequests

Especifica el número máximo de conexiones web simultáneas de cada componente.

2000

Spark2x

spark.connection.maxRequest

Especifica el número máximo de conexiones de solicitud de JobHistory.

5000
Tema principal: Mejoras de seguridad