11.4　应用场景总结

当管理员配置一个安全的Hadoop集群时，一般会创建两个用户：hdfs和mapreduce，并为其添加Kerberos认证，以让它们分别安全地启动HDFS服务和MapReduce服务。在一个安全的Hadoop集群中，各种应用场景涉及的安全认证过程如下。

11.4.1　文件存取

管理员需要在NameNode和DataNode所在节点上为用户hdfs添加Kerberos认证，这样，管理员以hdfs身份启动NameNode和DataNode，可避免非法NameNode或者DataNode接入Hadoop集群。

一个应用程序从HDFS上存取文件涉及的安全认证如图11-2所示。整个过程涉及Kerberos认证及Delegation Token和Block Access Token两种令牌，其中，Kerberos认证用于应用程序第一次访问NameNode时进行身份认证，通过认证之后，NameNode会为之分配Delegation Token或者Block Access Token，今后只需使用令牌访问NameNode或者从DataNode上存取数据即可。

图　11-2　文件存取过程中涉及的安全认证