IBM BigInsights

Übersicht über Apache Knox-Gateway

Das Apache Knox-Gateway ist ein System, das einen einzelnen Authentifizierungs- und Zugriffspunkt für Apache Hadoop-Services in einem Cluster bereitstellt.

Das Knox-Gateway vereinfacht die Hadoop-Sicherheit für Benutzer, die auf die Clusterdaten zugreifen und Jobs und Operatoren ausführen, die den Zugriff steuern und den Cluster verwalten. Das Gateway wird als Server oder Servercluster ausgeführt und stellt zentralen Zugriff auf mindestens einen Hadoop-Cluster bereit.

In einer Umgebung mit dualen Netzen muss das Knox-Gateway im öffentlichen Netz bereitgestellt werden. Wird der LDAP-Server von Knox für Authentifizierung verwendet, wird er auch in der öffentlichen Netzdomäne installiert. Das Gateway muss auf im Cluster installierte Services über Hostnamen oder IP-Adressen zugreifen können. Masterknoten befinden sich in dualen Netzen und sind über öffentlichen Datenverkehr für das Knox-Gateway und den LDAP-Server zugänglich. Mehrwertservices können auf einem beliebigen Masterknoten installiert werden.

Das folgende Diagramm zeigt die empfohlene Konfiguration für Masterknoten.

Diagramm der Sicherheitsarchitektur für Knox und LDAP.

Rechenknoten können in privaten Netzen bereitgestellt werden, sodass der Zugriff auf Masterknoten und Rechenknoten über privaten Datenverkehr erfolgt.

Knox wird in Identitätsmanagement- und SSO-Systeme integriert. Die Identität aus diesen Systemen kann für den Zugriff auf Hadoop-Cluster verwendet werden.

Über Knox-Gateways können Sie mehrere Hadoop-Cluster schützen. Der Zugang wird vereinfacht, weil Knox die REST/HTTP-Services von Hadoop durch das Kapseln von Kerberos im Cluster erweitert. Die Sicherheit wird erweitert, weil Knox die REST/HTTP-Services von Hadoop bereitstellt, ohne Netzdetails offenzulegen, indem Standard-SSL verwendet wird. Knox erzwingt zentrale REST-API-Sicherheit, indem Anforderungen an mehrere Hadoop-Cluster weitergeleitet werden.

Das Knox-Gateway unterstützt LDAP, Active Directory, SSO, SAML sowie andere Authentifizierungssysteme.

Sie können Knox mit nicht gesicherten Hadoop-Clustern und mit gesicherten Kerberos-Clustern verwenden.Wenn Sie gesicherte Kerberos-Cluster in Ihrem Unternehmenssystem verwenden, kann das Knox-Gateway eine Sicherheitslösung bereitstellen, die die folgenden Features enthält:
  • Wird in Managementlösungen für Unternehmensidentität integriert.
  • Schützt die Details der Hadoop-Clusterbereitstellung, sodass Hosts und Ports Endbenutzern nicht angezeigt werden.
  • Vereinfacht die Anzahl Services, mit denen ein Client interagieren muss.

Das Knox-Gateway ist für die Ausführung von SSL festgelegt. In IBM® Open Platform with Apache Hadoop ist Knox ein Service, den Sie in der Ambari-Webschnittstelle starten, stoppen und konfigurieren.

Benutzer greifen auf die folgenden BigInsights-Mehrwertkomponenten über Knox zu, indem Sie den Service 'IBM BigInsights Home' aufrufen.
https://<Knox-Host>:<Knox-Port>/<Knox-Gateway-Pfad>/default/BigInsightsWeb/index.html

Knox unterstützt nur REST-API-Aufrufe für die folgenden Hadoop-Services:



Feedback