记一次HDFS Delegation Token失效问题(续)
在上篇讲到了,HDFS Delegation Token 问题的解决方法是 Spark-Submit
方式可以进行解决,经过了一段时间的反思和查看 Livy 和 Spark-Submit 两者日志之后,有了一点新发现,并且测试认证了,该方式是可行的,那么是怎么实现的呢?
上篇传输门:地址
上文我有提到 livy spengo
是通过代理的方式实现 Kerberos 的认证的,当使用类似于 Spark-Submit
方式 添加对应的 spark.yarn.keytab
和 spark.yarn.principal
Livy 日志中会存在 --proxy-user or --principal
的错误信息,在比对了两种方式的认证日志,发现 Livy 代理方式在 realUser 是 Livy,而 Spark-Submit
方式则为空。
因而联想到了,可能 Livy 代理模式导致这两种结果的不同。在查看 Livy 配置资料之后, livy.impersonation.enabled
配置有关,尝试将该配置项设为 false 。在通过上篇中的测试方法,将 dfs.namenode.delegation.key.update-interval,dfs.namenode.delegation.token.max-lifetime,dfs.namenode.delegation.token.renew-interval
进行相应的调小,帮助快速论证结果。需要注意的一点,在测试过程中,Spark 应用是需要发消息,也就是数据,不能仅仅是运行,因为如果不发消息,其实应用是没有在正常运行的,也就不会出现过期的问题了。
实验的结果是该种方式 Livy 是可以解决 HDFS Delegation Token
失效问题的。如果只是使用 Livy 方式提交,上篇中的 HDFS 的配置 hadoop.proxyuser.yarn.hosts=*
是不需要进行相应的修改的,在 HDP 环境中该配置是一个具体的 host 地址。
以上