Knox 安装2.2.2+
# 一、基于 Ambari 安装 Knox 服务
本文环境说明
- 集群管理:Ambari 3.0.0
- 发行版:
ttr-2.2.2+ - 安全模式:Kerberos 已开启
- 目标:通过 Ambari 部署 Knox,作为 Hadoop Web UI 的统一安全入口
Knox 的作用正是:
在集群外提供一个安全的 HTTPS 入口,统一承载认证、鉴权与转发
在 Ambari 管理的大数据环境中,通过 添加服务向导 安装 Knox,可以将其纳入统一的:
- 服务生命周期管理
- 配置集中分发与变更
- Kerberos 体系协同
从 Ambari 首页点击 Add Service / 添加服务,进入服务安装向导。
# 二、选择 Knox 组件
# 1. 在服务列表中勾选 Knox
在可选服务列表中,勾选 Knox 组件:
Knox 并不是“可选增强组件”,在 开启 Kerberos 的集群中几乎是刚需,典型使用场景包括:
- 统一访问 Hadoop Web UI
- 对外提供安全的 REST API
- 与 Hue、Superset、BI 工具集成
确认后点击 NEXT。
# 三、分配 Knox 组件节点
# 1. Knox Gateway 节点规划
Ambari 会提示为 Knox Gateway 选择部署节点:
Knox 本质是一个 反向代理 + 认证网关,对节点的要求主要体现在:
- 网络连通性
- 稳定性
- HTTPS 处理能力
节点规划建议
- 建议与 NameNode / ResourceManager 分离
- 不建议部署在高负载计算节点
- 单 Gateway 即可满足中小规模集群
# 四、Knox 核心配置(Master Secret)
在 Knox 的配置阶段,最关键的一步是 Knox Master Secret 的设置。
# 1. Knox Master Secret 是什么?
Knox Master Secret 用于:
- 加密 Knox 内部敏感配置
- 保护 LDAP / 数据源 / SSO 凭据
- 保证 Gateway 重启后配置仍可解密
这是 Knox 的 根密钥,一旦丢失,将无法解密已有配置。
# 2. 本文示例说明
本文环境中:
- Master Secret 设置为:
admin - 仅用于测试环境
强烈建议
生产环境请使用 强随机字符串,并妥善保存,避免配置无法恢复。
配置完成后,点击 NEXT。
# 五、蓝图清单与安装确认
# 1. 蓝图摘要页面
Ambari 会展示 Knox 的安装蓝图与依赖校验结果:
确认无误后,进入正式安装阶段。
# 六、安装过程与结果确认
# 1. 观察安装执行过程
安装过程中 Ambari 会自动完成:
- Knox 包的分发
- Gateway 配置生成
- Kerberos 相关权限校验
- Knox Gateway 启动
# 2. 安装完成后的服务状态
安装完成后,回到 Ambari 服务总览页,Knox 状态应为 Started / 绿色:
到这里说明什么?
- Knox Gateway 已正常启动
- Kerberos 认证链路生效
- 集群具备统一安全入口
# 七、通过 Knox 访问 Hadoop Web UI 验证
通过 Ambari 提供的 Web UI 入口,可以跳转到 Knox Gateway:
默认访问地址类似:
https://dev1:6543/gateway/knoxsso/knoxauth/login.html?originalUrl=https://dev1:6543/gateway/homepage/home/
1
管理员账号示例:
admin / admin-password
1
# 八、Kerberos 场景下的对比验证
以 Hadoop NameNode Web UI 为例:
# 1. 直接访问(失败)
Kerberos 启用后,直接访问:
http://dev1:50070
1
会被拒绝:
# 2. 通过 Knox 访问(成功)
通过 Knox Gateway 访问同一服务:
这说明:
Knox 已成功承担 Hadoop Web UI 的统一安全入口角色