Tag: apache storm

你可以创build主机名是灵活的Kerberos主体？（泊坞）: 我特意试图用Apache Storm（1.0.2）来做到这一点，但它与任何使用Kerberos保护的服务都是相关的。我试图在Docker中运行安全的Storm集群。 Storm有很多现成的docker图片，而且他们的工作很不安全。我使用https://github.com/Baqend/docker-storm 。我也有Storm在RHEL VM上安全运行。但是，我的理解是Kerberos将主机名与主体绑定，所以如果我为客户端提供服务foobar，则需要创buildfoobar/hostname@REALM的主体。然后，一个客户端服务可能会连接到hostname与主要foobar ，Kerberos将查找foobar/hostname@REALM在其数据库中，发现它在那里（因为我们创build一个正是这个名字的主体），一切都会工作。在我的情况下，这里描述： https : //docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.3.0/bk_installing_manually_book/content/configure_kerberos_for_storm.html 。 nimbusauthentication为storm/<nimbus host>@REALM ，主pipe和外部客户authentication为storm/REALM 。一切正常。但在2017年，我们有容器和主机名不再是静态的。那么，我将如何Kerberize在Docker数据中心（或Kubernetes等）中运行的服务？我必须将未知的主机名附加到服务器身份validation。我想我可以为所有可能的主机名创build一个主体，并根据容器的存储位置在启动时dynamic地select正确的主体，但这就是kludgy。我误解了Kerberos的工作原理吗？这里有没有解决方法，我不明白？我在网上看到多个在Docker上运行Storm的人的例子，但我无法想象没有人的群集是安全的。

是否有可能拥有Storm Nimbus Redundancy？: 我在网上search，最多我发现是这两个文章： Fault tolerant Nimbus in Apache Storm http://storm.apache.org/releases/2.0.0-SNAPSHOT/nimbus-ha-design.html 这不能很好地解释说明，让两个或更多的Nimbus实例运行，如果一个人死亡，另一个人接pipe…如果这是可能的，哪一个让人想一想。其他的search结果告诉我，这是不可能的，也不是必需的，因为Nimbus不是集群中的关键节点。但我希望更好。可以这样做吗？