Phoenix链接安全模式下的HBase集群

Phoenix链接安全模式下的HBase集群

HBase集群开启安全模式(即启用kerberos认证)以后，用户不管是用HBase shell仍是Phoenix去链接HBase都先须要经过kerberos认证。若是没有经过kerberos认证，则hbase shell或phoenix都会报找不到kerberos tgt的错误而没法访问HBase(如下以phoenix为例):

 

对于HBase shell来讲，用户能够在命令行先用kinit命令(kinit -kt <user keytab> <user principal>)进行认证获取tgt，而后再进入hbase shell中去建表或者跑查询。而Phoenix由于没有像hbase shell这样一开始就支持kerberos认证，因此Phoenix高低版本之间对HBase的kerberos认证的支持有所差异：

- 3.0及以上版本的Phoenix原生支持链接安全模式的hbase集群

- 3.0如下版本的Phoenix默认不支持链接安全模式的hbase集群

如下分别介绍不一样Phoenix版本链接安全模式下HBase集群的方法。

Phoenix 3.0及以上版本链接安全模式下的HBase集群

Phoenix从3.0版本开始增长了链接安全模式下的HBase集群的支持，链接安全模式的HBase集群的JDBC URL格式以下：

jdbc:phoenix:<quorom>:<port>:[zk_rootNode]:<principal>:<keytab>

(参数里的quorom是zookeeper节点列表，port是zookeeper的端口，zk_rootNode是HBase的zookeeper目录，principal为hbase用户的principal，keytab为hbase用户的keytab文件路径)

用户能够用上述JDBC链接串，经过sqlline命令，java代码或sql链接器去访问开启了安全模式的HBase集群(经过上述JDBC链接串去访问HBase以前，不须要手动去执行kinit命令来获取tgt)。其使用示例以下：

（测试以HDP 2.6为准<HBase1.2.2，phoenix4.>，CDH或Apache社区版本的HBase的配置也相似）

 

另外，咱们发现若是用kinit命令去手动获取tgt以后，依然能够经过非kerberos模式下的JDBC链接串(即jdbc:phoenix:<quorom>:<port>:[zk_rootNode] 格式的连)访问HBase集群，由于当前命令执行的上下文里以及有了kerberos tgt的缓存信息：

 

Phoenix 3.0如下版本链接安全模式下的HBase集群

对于3.0以前的版本，Phoenix默认是不支持链接安全模式下的HBase集群的。可是，咱们能够经过修改phoenix的sqlline脚本并增长一些java参数来使phoenix可以链接开启kerberos的HBase集群(只须要增长一些参数，而没必要修改phoenix代码自己)。

须要在sqlline里增长的java参数以下：

- zookeeper的jaas文件路径

- krb5.conf文件路径

- 集群配置文件和jar包的路径，包括：

    - hadoop的配置文件路径

    - hbase的配置文件路径

    - hbase jar包的路径

    - zookeeper jar包的路径

    - hadoop auth jar包的路径

    - phoenix-x.x.x.jar的路径

sqlline脚本最终执行的java命令相似下面：
java -Djava.security.auth.login.config=/etc/zookeeper/conf/zookeeper_client_jaas.conf -Djava.security.krb5.conf=/etc/krb5.conf -cp "/etc/hbase/conf:/usr/hdp/2.4.0.0-169/zookeeper/zookeeper-3.4.6.2.4.0.0-169.jar:/usr/hdp/2.4.0.0-169/hadoop/hadoop-auth-2.7.1.2.4.0.0-169.jar:/usr/hdp/2.4.0.0-169/phoenix/bin/../phoenix-4.4.0.2.4.0.0-169-client.jar:::/etc/hadoop/conf:/usr/hdp/2.4.0.0-169/hadoop/conf:/usr/hdp/2.4.0.0-169/hadoop/lib/*:/usr/hdp/2.4.0.0-169/hadoop/.//*:/usr/hdp/2.4.0.0-169/hadoop-hdfs/./:/usr/hdp/2.4.0.0-169/hadoop-hdfs/lib/*:/usr/hdp/2.4.0.0-169/hadoop-hdfs/.//*:/usr/hdp/2.4.0.0-169/hadoop-yarn/lib/*:/usr/hdp/2.4.0.0-169/hadoop-yarn/.//*:/usr/hdp/2.4.0.0-169/hadoop-mapreduce/lib/*:/usr/hdp/2.4.0.0-169/hadoop-mapreduce/.//*::mysql-connector-java-5.1.17.jar:mysql-connector-java.jar:postgresql-9.3-1101-jdbc4.jar:postgresql.jar:/usr/hdp/2.4.0.0-169/tez/*:/usr/hdp/2.4.0.0-169/tez/lib/*:/usr/hdp/2.4.0.0-169/tez/conf" -Dlog4j.configuration=file:/usr/hdp/2.4.0.0-169/phoenix/bin/log4j.propertiessqlline.SqlLine -d org.apache.phoenix.jdbc.PhoenixDriver -u jdbc:phoenix:ocdpbroker.jcloud.local:2181:/hbase-secure:hbase/ocdpbroker.jcloud.local@ASIAINFO.COM:/etc/security/keytabs/hbase.service.keytab -n none -p none —color=true —fastConnect=false —verbose=true —isolation=TRANSACTION_READ_COMMITTED

总结一下，须要首先在命令行用kinit命令手动获取tgt，而后再执行上述的java命令就能够访问开启kerberos认证的HBase集群了。