Sugerencias de configuración de seguridad para clústeres con autenticación de Kerberos deshabilitada

La versión de la comunidad de Hadoop proporciona dos modos de autenticación: autenticación de Kerberos (modo de seguridad) y autenticación Simple (modo normal). Al crear un clúster, puede optar por habilitar o deshabilitar la autenticación de Kerberos.

Los clústeres en modo de seguridad utilizan el protocolo de Kerberos para la autenticación de seguridad.

En modo normal, los componentes del clúster MRS utilizan un mecanismo de autenticación de código abierto nativo, que es típicamente autenticación Simple. Si se utiliza autenticación Simple, la autenticación se realiza automáticamente por un usuario de cliente (por ejemplo, usuario root) de forma predeterminada cuando un cliente se conecta a un servidor. La autenticación es imperceptible para el administrador o usuario del servicio. Además, cuando se ejecuta, el cliente puede incluso pretender ser cualquier usuario (incluido superuser) mediante la inyección de UserGroupInformation. Las API de gestión de recursos de clúster y control de datos no se autentican en el servidor y son fácilmente explotadas y atacadas por piratas informáticos.

Por lo tanto, en el modo normal, los permisos de acceso a la red deben controlarse estrictamente para garantizar la seguridad del clúster. Se recomienda realizar las siguientes operaciones para garantizar la seguridad del clúster.

• Despliegue aplicaciones de servicio en ECS en la misma VPC y subred y evite el acceso a clústeres MRS a través de una red externa.
• Configure las reglas de grupo de seguridad para controlar estrictamente el ámbito de acceso. No configure reglas de acceso que permitan Any o 0.0.0.0 para la dirección entrante de los puertos del clúster MRS.
• Si desea acceder a las páginas nativas de los componentes del clúster desde el externo, siga las instrucciones en Creación de un canal de SSH para conectarse a un clúster de MRS y configurar el navegador para la configuración.