Hadoop Spark作为另一个用户提交给Thread
有没有可能将spark作业提交给一个纱线集群,并通过命令行或jar内部选择哪个用户将“拥有”该作业 spark submit将从包含用户的脚本启动Hadoop Spark作为另一个用户提交给Thread,hadoop,apache-spark,yarn,kerberos,Hadoop,Apache Spark,Yarn,Kerberos,有没有可能将spark作业提交给一个纱线集群,并通过命令行或jar内部选择哪个用户将“拥有”该作业 spark submit将从包含用户的脚本启动 PS:如果集群具有kerberos配置(并且脚本为keytab),是否仍然可能?如果您的用户存在,您仍然可以使用启动spark submit su$my_用户-c spark提交[…] 我不确定kerberos密钥表,但是如果您与这个用户进行kinit,它应该是好的 如果因为不需要密码而无法使用su,我邀请您查看以下答案: 对于非kerberized
PS:如果集群具有kerberos配置(并且脚本为keytab),是否仍然可能?如果您的用户存在,您仍然可以使用启动spark submit su$my_用户-c spark提交[…] 我不确定kerberos密钥表,但是如果您与这个用户进行kinit,它应该是好的 如果因为不需要密码而无法使用su,我邀请您查看以下答案:
对于非kerberized集群:
在提交Spark作业之前导出HADOOP\u USER\u NAME=zorro如果要在shell脚本的其余部分(或在交互式shell会话中)还原为默认凭据,请确保随后
取消HADOOP\u USER\u NAMEexport KRB5CCNAME=FILE:/tmp/krb5cc_$(id -u)_temp_$$
kinit -kt ~/.protectedDir/zorro.keytab zorro@MY.REALM
spark-submit ...........
kdestroy
对于非kerberized群集,您可以添加Spark配置,如下所示:
--conf spark.yarn.appMasterEnv.HADOOP_USER_NAME=<user_name>
--conf spark.warn.appMasterEnv.HADOOP\u用户名=
$ spark-submit --help 2>&1 | grep proxy
--proxy-user NAME User to impersonate when submitting the application.
svc\u spark\u prdhadoop.proxyuser.svc\u spark\u prd.hostshadoop.proxyuser.svc\u spark\u prd.usershadoop.proxyuser.svc\u spark\u prd.groups例如,使用此方法代表其他最终用户提交Spark作业。我将无法将su提交给其他用户。将启动spark submit的用户与www数据类似,因此su将不可能,并且它将能够执行kinit,因为它需要最终用户密码。启动spark作业的用户是所有者。su-c不会更改您的用户,只会以您选择的用户身份运行作业;编辑:好的,我修改了我的帖子,你可以看看,这个答案是可以的,尽管假设有人可以访问所有用户的所有键,你可能需要运行spark作业作为。。。这并不总是可行的,也不总是安全的。此外,管理密钥表可能是一场噩梦(例如,当用户更改密码时,该密钥表必须更改等)。一个更好的方法是使用
代理身份验证导出HADOOP\u USER\u NAME=HADOOP纱线客户端纱线簇代理用户