? HDFS透明加密(Transparent Encryption)支持端對端的透明加密,啟用以后,對于一些需要加密的HDFS目錄里的文件可以實現透明的加密和解密,而不需要修改用戶的業務代碼。端對端是指加密和解密只能通過客戶端來操作。
我們知道,在hdfs中,我們的數據是以block塊存儲在我們的磁盤上的,那么默認情況下,它是以密文存儲的,還是以明文存儲的呢?如果是明文存儲的,那么是否就不安全呢?那么在hdfs中是如何做才能做到數據的透明加密呢?
(資料圖片僅供參考)
常見的加密層級
應用層加密:這是最安全和最靈活的方法。加密內容最終由應用程序來控制。并且可以精確的反應用戶的需求。但是,編寫應用程序來實現加密一般都比較困難。數據庫層加密:類似于應用程序級加密。大多數數據庫供應商都提供某種形式的加密。但是可能存在性能問題。比如:索引無法加密。文件系統層加密:這種方式對性能影響不大,且對應用程序是透明的,一般也比較容易實施。但是如果需要應對細粒度的要求策略,可能無法完全滿足。比如:加密文件系統(EFS)用于在(NTFS)文件系統卷上存儲已加密的文件。磁盤層加密:易于部署和高性能,但是相當不靈活,只能防止用戶從物理層面盜竊數據。加密區域就是HDFS上的一個目錄,只不過該目錄相對而言稍微特殊點。文件寫入的時候會被透明加密,文件讀取的時候會被透明解密。
當加密區域被創建時,都會有一個加密區域密鑰(EZ密鑰, encryption zone key)與之對應,EZ密鑰存儲在HDFS外部的密鑰庫中。
加密區域里的每個文件都有其自己的加密密鑰,叫做數據加密密鑰(DEK, data. encryption key)。
DEK
DEK會使用其各自的加密區域的EZ密鑰進行加密,以形成加密數據加密密鑰(EDEK)
EDEK
DEK的加解密和文件的加解密
[hadoopdeploy@hadoop01 sh]$ stop-dfs.shStopping namenodes on [hadoop01]Stopping datanodesStopping secondary namenodes [hadoop03][hadoopdeploy@hadoop01 sh]$密鑰庫的密碼為Hadoop@123
[hadoopdeploy@hadoop01 ~]$ keytool -genkey -alias "keystore_hadoop"輸入密鑰庫口令:再次輸入新口令:您的名字與姓氏是什么? [Unknown]:您的組織單位名稱是什么? [Unknown]:您的組織名稱是什么? [Unknown]:您所在的城市或區域名稱是什么? [Unknown]:您所在的省/市/自治區名稱是什么? [Unknown]:該單位的雙字母國家/地區代碼是什么? [Unknown]:CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown是否正確? [否]: y輸入 的密鑰口令 (如果和密鑰庫口令相同, 按回車):再次輸入新口令:Warning:JKS 密鑰庫使用專用格式。建議使用 "keytool -importkeystore -srckeystore /home/hadoopdeploy/.keystore -destkeystore /home/hadoopdeploy/.keystore -deststoretype pkcs12" 遷移到行業標準格式 PKCS12。[hadoopdeploy@hadoop01 ~]$ ll ~/.keystore-rw-rw-r--. 1 hadoopdeploy hadoopdeploy 1992 6月 15 22:20 /home/hadoopdeploy/.keystore[hadoopdeploy@hadoop01 ~]$ 生成keystore
hadoop.kms.key.provider.uri jceks://file@/${user.home}/kms.jks hadoop.security.keystore.java-keystore-provider.password-file kms.keystore.password.txt hadoop.kms.http.port 16000 dfs.encryption.key.provider.uri kms://http@hadoop01:16000/kms hadoop.kms.authentication.type simple 需要創建kms.keystore.password.txt文件,并設置密鑰庫的密碼
[hadoopdeploy@hadoop01 hadoop]$ cat /opt/bigdata/hadoop-3.3.4/etc/hadoop/kms.keystore.password.txtHadoop@123[hadoopdeploy@hadoop01 hadoop]$export KMS_HOME=/opt/bigdata/hadoop-3.3.4export KMS_LOG=${KMS_HOME}/logs/kmsexport KMS_ADMIN_PORT=16001 hadoop.security.key.provider.path kms://http@hadoop01:16000/kms dfs.encryption.key.provider.uri kms://http@hadoop01:16000/kms [hadoopdeploy@hadoop01 hadoop]$ scp kms-site.xml kms-env.sh core-site.xml hdfs-site.xml hadoop01:$PWD[hadoopdeploy@hadoop01 hadoop]$ scp kms-site.xml kms-env.sh core-site.xml hdfs-site.xml hadoop02:$PWD[hadoopdeploy@hadoop01 hadoop]$ start-dfs.shStarting namenodes on [hadoop01]Starting datanodesStarting secondary namenodes [hadoop03][hadoopdeploy@hadoop01 hadoop]$ jps2080 NameNode2243 DataNode2471 Jps[hadoopdeploy@hadoop01 hadoop]$[hadoopdeploy@hadoop01 hadoop]$ hadoop --daemon start kmsWARNING: KMS_LOG has been replaced by HADOOP_LOG_DIR. Using value of KMS_LOG.WARNING: /opt/bigdata/hadoop-3.3.4//temp does not exist. Creating.WARNING: /opt/bigdata/hadoop-3.3.4/logs/kms does not exist. Creating.[hadoopdeploy@hadoop01 hadoop]$ jps2080 NameNode2243 DataNode2870 KMSWebServer2904 Jps[hadoopdeploy@hadoop01 hadoop]$hadoop –daemon stop kms停止kms服務
需求: 在hdfs上創建2個目錄logs和datas,只要是在datas目錄中上傳文件都需要透明加密,logs目錄不需要,同時往logs和datas目錄中上傳一個文件,然后查看對應文件在磁盤上的block塊,直接在操作系統上查看這個塊,看文件是否加密。
[hadoopdeploy@hadoop01 hadoop]$ hadoop fs -mkdir /logs[hadoopdeploy@hadoop01 hadoop]$ hadoop fs -mkdir /datas[hadoopdeploy@hadoop01 hadoop]$ hadoop fs -ls /Found 2 itemsdrwxr-xr-x - hadoopdeploy supergroup 0 2023-06-16 21:10 /datasdrwxr-xr-x - hadoopdeploy supergroup 0 2023-06-16 21:10 /logs[hadoopdeploy@hadoop01 hadoop]$ echo 123456789 > 1.data[hadoopdeploy@hadoop01 hadoop]$ cat 1.data123456789[hadoopdeploy@hadoop01 hadoop]$在/目錄下創建2個文件夾logs和datas, 并創建一個文件1.data,內容為123456789,1.data先不傳遞到logs和datas目錄中。
# 創建一個key ,名字是 ezk_datas[hadoopdeploy@hadoop01 hadoop]$ hadoop key create ezk_datasezk_datas has been successfully created with options Options{cipher="AES/CTR/NoPadding", bitLength=128, description="null", attributes=null}.org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@3d5c822d has been updated.# 查看key 列表[hadoopdeploy@hadoop01 hadoop]$ hadoop key list -metadataListing keys for KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@2f8dad04ezk_datas : cipher: AES/CTR/NoPadding, length: 128, description: null, created: Fri Jun 16 21:36:51 CST 2023, version: 1, attributes: [key.acl.name=ezk_datas][hadoopdeploy@hadoop01 hadoop]$[hadoopdeploy@hadoop01 hadoop]$ hdfs crypto -createZone -keyName ezk_datas -path /datasAdded encryption zone /datas[hadoopdeploy@hadoop01 hadoop]$ezk_datas: 為我們創建的ezk的名字/datas: hdfs上的一個目錄
# 往/datas目錄上傳一個文件[hadoopdeploy@hadoop01 hadoop]$ hadoop fs -put 1.data /datas# 往/logs目錄上傳一個文件[hadoopdeploy@hadoop01 hadoop]$ hadoop fs -put 1.data /logs[hadoopdeploy@hadoop01 hadoop]$查看加密文件
1、https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-hdfs/TransparentEncryption.html
關鍵詞:
世界微頭條丨人民幣為什么一直在貶值 專業人士分析如下 近期,人民幣一直在貶值,引發外資持續流出,這對外資重倉的A股權益資
焦點精選!科安達董事長郭豐明及董秘郭澤珊擬繼續減持不超7.1%股份 中國網財經6月29日訊(記者張增艷)科安達昨日晚間公告稱,公司董事長郭
環球快看:被印度詐騙88億、又反被索賠21億?上海電氣聲明:嚴重歪曲事實 被印度詐騙88億、又反被索賠21億?上海電氣聲明:嚴重歪曲事實 
武侯區教育網藝術測評平臺 武侯區教育網藝術測評 1、武侯區教育網藝術測試平臺就是武侯區中小學藝術測試平臺。2、登錄方 
焦點觀察:正式官宣!淮師附屬實驗學校動工,明年秋季招生 1剛剛,淮安又一所重磅學校開工!根據淮安發布&幸福淮陰消息,正式官宣 
當前熱點-鳥杯_關于鳥杯簡述 小伙伴們,你們好,今天小夏來聊聊一篇關于鳥杯,關于鳥杯簡述的文章, 熱消息:我們一起聊聊Hdfs的透明加密記錄 ?HDFS透明加密(TransparentEncryption)支持端對端的透明加密,啟用
