Безопасность Hadoop с использованием того же принципала по всем узлам

Question

У меня есть защита hadoop с использованием кеберосов в окнах. Я прочитал документ this, что каждый узел должен иметь разные основные имена. Например, основной принцип наменования, такой как nn/full.qualified.domain.name@REALM.TLD, основной datanode, такой как dn/full.qualified.domain.name@REALM.TLD

Мой вопрос: почему мы не можем использовать тот же принцип для всех узлов, я тестировал, и он также отлично работает. Тогда почему мы должны использовать разные принципы для каждого узла. Есть ли какая-то конкретная причина для этого? Если мы используем другой принцип, кластер будет более безопасным? или есть ли какая-либо роль пользователя для каждой службы, такой как hdfs, пряжа, mapred?

Я просто хочу знать, почему они так используют.

Спасибо,

Answer 1

Я не знаю точно, почему; Но необходимость для отдельных пользователей может быть жизнеспособной для нижеприведенного сценария;

При запуске каждой службы некоторые службы могут потребовать дополнительных привилегий для выполнения некоторой операции, когда включен ACL;

• Например: JobHistoryServer должен иметь право записывать журналы об услуге связи/состоянии службы NameNode;

Также к ядру, сам Hadoop имеет "HDFS", "mapred" как отдельных пользователей; Поэтому лучше иметь индивидуальных пользователей для обслуживания;