シナリオ/コードの詳細
次のように、データをハイブテーブルに保存するためのスパークセッションオブジェクトを作成しています。
_sparkSession = SparkSession.builder().
config(_sparkConf).
config("spark.sql.warehouse.dir", "/user/platform").
enableHiveSupport().
getOrCreate();
JAR をサーバーにデプロイした後、以下の例外が発生します。
Caused by: org.apache.spark.sql.AnalysisException:
org.apache.hadoop.hive.ql.metadata.HiveException:
MetaException(message:org.apache.hadoop.security.AccessControlException:
Permission denied: user=diplatform, access=EXECUTE,
inode="/apps/hive/warehouse":hdfs:hdfs:d---------
at org.apache.hadoop.hdfs.server.namenode.FSPermissionChecker.check(FSPermissionChecker.java:353)
My hive-site.xml で、以下の構成を指定しました。/etc/hive/conf のデフォルトの xml をオーバーライドできるように、この xml を spark コードに追加します。
<property>
<name>hive.security.metastore.authenticator.manager</name>
<value>org.apache.hadoop.hive.ql.security.HadoopDefaultMetastoreAuthenticator</value>
</property>
<property>
<name>hive.security.metastore.authorization.auth.reads</name>
<value>false</value>
</property>
<property>
<name>hive.security.metastore.authorization.manager</name>
<value>org.apache.hadoop.hive.ql.security.authorization.DefaultHiveMetastoreAuthorizationProvider</value>
</property>
<property>
<name>hive.metastore.authorization.storage.checks</name>
<value>false</value>
</property>
<property>
<name>hive.metastore.cache.pinobjtypes</name>
<value>Table,Database,Type,FieldSchema,Order</value>
</property>
<property>
<name>hive.metastore.client.connect.retry.delay</name>
<value>5s</value>
</property>
<property>
<name>hive.metastore.client.socket.timeout</name>
<value>1800s</value>
</property>
<property>
<name>hive.metastore.connect.retries</name>
<value>24</value>
</property>
<property>
<name>hive.metastore.execute.setugi</name>
<value>true</value>
</property>
<property>
<name>hive.metastore.failure.retries</name>
<value>24</value>
</property>
<property>
<name>hive.metastore.kerberos.keytab.file</name>
<value>/etc/security/keytabs/hive.service.keytab</value>
</property>
<property>
<name>hive.metastore.kerberos.principal</name>
<value>hive/_HOST@EXAMPLE.COM</value>
</property>
<property>
<name>hive.metastore.pre.event.listeners</name>
<value>org.apache.hadoop.hive.ql.security.authorization.AuthorizationPreEventListener</value>
</property>
<property>
<name>hive.metastore.sasl.enabled</name>
<value>true</value>
</property>
<property>
<name>hive.metastore.server.max.threads</name>
<value>100000</value>
</property>
<property>
<name>hive.metastore.uris</name>
<value>thrift://masternode1.com:9083</value>
</property>
<property>
<name>hive.metastore.warehouse.dir</name>
<value>/user/platform</value>
</property>
質問:
カスタムの hive-site.xml をオーバーライドした後でも、開発チーム全体が、なぜ、どこからこのパス: /apps/hive/warehouse が取得されているのかわかりません。
内部 HDFS フレームワークがこの場所を呼び出して中間結果を保存し、このパスへの実行権限が必要なのですか?
ポリシーにより、次の 2 つの理由により、/apps/hive/warehouse で 777 レベルのアクセスをユーザーに提供することはできません。
将来的には、別のユーザーのセットが存在する可能性があります。倉庫でユーザーに 777 を提供するのは安全ではありません。
- 上記の 2 つの理由は正しいですか、それとも回避策はありますか?