Knox 安装2.1.0+

# Knox 安装

Knox 是集群的统一网关入口。它本身不负责存储或计算，而是把后面的 HDFS、YARN、Hive、Ranger 等 Web/API 入口收敛到同一个安全网关里。前面已经完成 Solr、Ranger、Kerberos 和 LDAP，本篇就先把 Knox Gateway 装起来。

这里有一个容易误解的点：本篇安装 Knox 时，HDFS、YARN、Hive 还没有继续安装，所以不要用 WebHDFS、YARN UI 或 Hive 代理路由来判断 Knox 是否成功。这个阶段重点看两件事：KNOX 服务是否运行中，KnoxSSO 登录页是否能打开。

本次仍然沿用三台 FQDN 主机：

主机	当前角色
`hadoop1.test.com`	Ambari Plus Server、MariaDB、Solr、OpenLDAP、Knox Gateway
`hadoop2.test.com`	KDC、Ranger Admin、Ranger Usersync
`hadoop3.test.com`	Worker 节点

提示

Knox 对 Kerberos、证书和后端服务地址都比较敏感。这里继续使用 hadoop*.test.com，不要在配置里混用短主机名和 IP。

# 1. 选择 Knox 服务

进入 服务与组件，点击 新增服务。服务列表里找到 Knox，勾选它。

选择 Knox 服务

这一步只选择 Knox。页面会显示 已选服务 1，说明本次新增服务范围很清楚，不会把 HDFS、YARN、Hive 一起带进来。

# 2. 分配 Knox Gateway

Master 分配页里，KNOX_GATEWAY 默认分配到 hadoop1.test.com。

分配 Knox Gateway

我这里保留这个分配方式。hadoop1.test.com 已经是平台入口节点，再把 Knox Gateway 放在这里，后面访问网关时更直观：

https://hadoop1.test.com:6543/

生产环境如果要做 Knox HA，可以在完成单节点安装后再扩展网关实例，并配合负载均衡入口统一访问。

# 3. 确认没有 Slave 和 Client

Knox 这一版只有 KNOX_GATEWAY，没有需要额外分配的 Slave 或 Client 组件。

Knox 没有 Slave 和 Client

看到页面提示 无 Slave 组件需要分配、无 Client 组件，直接下一步即可。

# 4. 补齐 Knox Master Secret

进入自定义配置页后，页面会提示还有 1 个必填配置项没有填写。点击 待填写，只看缺失项。

查看 Knox 必填配置

缺失项是 Knox Master Secret，它位于 knox-env.xml。本次演示填写：

配置项	示例值
`Knox Master Secret`	`Knoxadmin123`

填写 Knox Master Secret

注意

Knoxadmin123 只是教程演示口令。生产环境请使用高复杂度密钥，并按企业密码管理规范保存。

# 5. 确认安装清单

配置补齐后进入确认页。这里重点看三项：

检查项	本次结果
新增服务	`KNOX`
Master 分配	`KNOX_GATEWAY -> hadoop1.test.com`
配置校验	必填项已填写

Knox 安装确认页

确认无误后点击 开始安装。

# 6. 提交 KDC 管理员凭据

当前集群已经启用了 Kerberos，Knox 新增服务时需要生成并分发 Kerberos 凭据。安装进度页会弹出 KDC 管理员凭据。

本次填写前面 Kerberos 文章里创建的管理员：

配置项	示例值
管理员 Principal	`admin/[email protected]`
管理员密码	`Kerberosadmin123`

填写后点击 提交并继续安装。这个凭据只用于本次操作，页面不会保存管理员密码。

提交 KDC 管理员凭据

提交成功后，页面会提示 KDC 管理员凭据已提交。如果 Ranger 与 Knox SSO 的联动配置也被补齐，还会看到 Ranger via Knox SSO 已补齐 这样的提示。

# 7. 等待安装和启动

提交 KDC 凭据后，向导会继续注册服务、安装组件包、生成凭据、启动 Knox Gateway。

Knox 安装中

Knox 安装过程中会自动处理 Ranger via Knox SSO 相关配置。安装完成后，向导会回到服务状态确认阶段；如果 RANGER_ADMIN 被提交重启请求，稍等它恢复运行即可。

# 8. 回到服务页确认状态

安装完成后进入 KNOX 服务详情页，状态应显示为 运行中。

Knox 服务运行中

此时可以重点看：

检查项	期望结果
服务状态	`KNOX` 显示运行中
实例数量	`1 / 1` 运行
待刷新配置	`0`
失败请求	`0`

如果 Ranger Admin 因为 SSO 集成被重启，稍等它回到运行中即可。

# 9. 打开 KnoxSSO 登录页

浏览器访问：

https://hadoop1.test.com:6543/gateway/homepage/home/

首次使用自签证书时，浏览器可能会提示证书风险。内部测试环境可以临时信任，生产环境建议使用企业 CA 或可信证书。

KnoxSSO 登录页

能看到 Apache Knox 的 KnoxSSO 登录页，就说明网关入口已经响应。等后面 HDFS、YARN、Hive 等服务安装完成后，再把它们逐个接入 Knox 拓扑，通过网关入口访问对应服务。

本篇到这里先收住。下一步回到组件安装，开始铺底层存储服务：HDFS。

#Knox #Ambari Plus #Kerberos #Ranger

← Ranger 安装 HDFS 安装→