Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> MapReduce Service> Guía del usuario> Guía de operación del FusionInsight Manager (aplicable a 3.x)> Gestión de la seguridad> Mejoras de seguridad> Configuración del cifrado de datos de HDFS durante la transmisión
Actualización más reciente 2023-11-20 GMT+08:00
Ver PDF

Configuración del cifrado de datos de HDFS durante la transmisión

Configuración del cifrado de canal de seguridad de HDFS

El canal entre componentes no está cifrado de forma predeterminada. Puede establecer parámetros para habilitar la encriptación de canales de seguridad.

Ruta de navegación para establecer parámetros: en FusionInsight Manager, elija Cluster > Name of the desired cluster > Services > HDFS > Configurations. En la página mostrada, haga clic en la pestaña All Configurations. Introduzca un nombre de parámetro en el cuadro de búsqueda.

Después de la configuración, reinicie el servicio correspondiente para que los ajustes surtan efecto.

Tabla 1 Parámetros

Elemento de configuración

Descripción

Valor predeterminado

hadoop.rpc.protection
AVISO:
  • La configuración solo se aplica después de reiniciar el servicio. No se admite el reinicio continuo.
  • Después de la configuración, debe descargar el archivo de configuración del cliente de nuevo. De lo contrario, HDFS no puede proporcionar los servicios de lectura y escritura.
  • Después de la configuración, debe reiniciar el executor. De lo contrario, las funciones de gestión de tareas y de gestión de archivos de la consola no estarán disponibles.

Indica si los canales RPC de cada módulo en Hadoop están cifrados. Los canales incluyen:

  • Canales RPC para que los clientes accedan a HDFS
  • Canales RPC entre módulos en HDFS, por ejemplo, entre DataNode y NameNode
  • Canales RPC para que los clientes accedan a Yarn
  • Canales RPC entre NodeManager y ResourceManager
  • Canales RPC para Spark para acceder a Yarn y HDFS
  • Canales RPC para MapReduce para acceder a Yarn y HDFS
  • Canales RPC para que HBase acceda a HDFS
NOTA:

La configuración tiene efecto globalmente, es decir, el atributo de encriptación del canal RPC de cada módulo en el Hadoop tiene efecto.
  • Modo de seguridad: privacidad
  • Modo normal: autenticación
NOTA:
  • authentication: indica que solo se requiere autenticación.
  • integrity: indica que es necesario realizar la verificación de autenticación y consistencia.
  • privacy: indica que es necesario realizar la autenticación, la comprobación de coherencia y la encriptación.

dfs.encrypt.data.transfer

Indica si los canales de transferencia de datos de HDFS y los canales para que los clientes accedan a HDFS están cifrados. Los canales de transferencia de datos de HDFS incluyen los canales de transferencia de datos entre DataNodes y los canales de transferencia de datos (DT) para que los clientes accedan a DataNodes. El valor true indica que los canales están cifrados. Los canales no están cifrados por defecto.

NOTA:
  • Este parámetro solo es válido cuando hadoop.rpc.protection está establecido en privacy.
  • Si se transmite una gran cantidad de datos de servicio, la activación de la encriptación por defecto afecta gravemente el rendimiento del sistema.
  • Si se configura la encriptación de transmisión de datos para un clúster en el clúster de confianza, se debe configurar la misma encriptación de transmisión de datos para el clúster del mismo nivel.

false

dfs.encrypt.data.transfer.algorithm

Indica el algoritmo para cifrar los canales de transferencia de datos de HDFS y los canales para que los clientes accedan a HDFS. Este parámetro solo es válido cuando dfs.encrypt.data.transfer está establecido en true.

NOTA:

El valor por defecto es 3des, que indica que el algoritmo 3DES se utiliza para cifrar datos. El valor también se puede establecer en rc4. Sin embargo, para evitar riesgos de seguridad, no se recomienda establecer el parámetro en este valor.

3des

dfs.encrypt.data.transfer.cipher.suites

Este parámetro se puede dejar vacío o establecer en AES/CTR/NoPadding para especificar el conjunto de encriptación para la encriptación de datos. Si no se especifica este parámetro, el algoritmo de encriptación especificado por dfs.encrypt.data.transfer.algorithm se utiliza para la encriptación de datos. El valor predeterminado es AES/CTR/NoPadding.

AES/CTR/NoPadding
Tema principal: Mejoras de seguridad