
158
|
第六章:身份識別、身份驗證與授權
dfs.datanode.http.address
指定嵌入式
HTTP
伺服器應該綁定的主機名稱或
IP
位址與連線埠,用冒號分隔。
採用萬用
IP
位址
0.0.0.0
是合法的,表示
HTTP
伺服器應該監聽所有連線介面。
範例設定值:
0.0.0.0:1006
dfs.datanode.data.dir.perm
當啟用安全性時,
Hadoop
會執行額外的檢查來確保
HDFS
的區塊資料無法被非經
驗證的用戶讀取。這些檢查之一涉及確保指定在
dfs.data.dir
的所有目錄是否設成
嚴格的權限。這樣才能預防使用者的程式碼直接從本機硬碟開啟並且讀取區塊資
料目錄,而非透過
HDFS API
。因為後者需要合法的
Kerberos
憑證,而且對於檔
案會執行授權的檢查。如果權限設定不正確,資料節點將會將權限更改成這個參
數的設定值。
本機讀取短路
HDFS
支援一個名為本機讀取短路(
local read short-circuiting
)的新功能(實作
於
HDFS-2246
,
https://issues.apache.org/jira/browse/HDFS-2246
),當用戶端
程式與資料節點運行於同一台主機時,可以繞過資料節點伺服器,並直接從本機
檔案系統讀取區塊檔案。這樣能大幅提升讀取的速率,但代價是開放
所有區塊
的
底層區塊資料給用戶端。啟用這個功能時,用戶端必須以資料節點相同身份或具
備讀取權限的同一個群組身份執行。兩種情境都破壞了某些安全模式的基本假
設,可能不慎將資料洩漏給惡意程式 ...