1. 背景
hive metastore 在使用 remote 模式时,需要在 hive-site.xml 中配置远程数据库的连接信息
<property>
<name>javax.jdo.option.ConnectionUserName</name>
<value>test</value>
</property>
<property>
<name>javax.jdo.option.ConnectionPassword</name>
<value>test</value>
</property>
在生产环境中肯定不能随意暴露明文密码,经过查找,还没发现可以支持配置加密密码,在使用时解密的处理方案。但是可以通过 Hadoop Credential Providers 功能把密码保存到密钥库中,然后移除配置文件中的密码项
2. 实现原理
从 0.14 版本开始[HIVE-7634],在 hive 实现中对 javax.jdo.option.ConnectionPassword 默认使用了 hadoop credential provider 功能
在org.apache.hadoop.hive.metastore.ObjectStore#getDataSourceProps 中看一下是如何获取到数据库密码的
try {
String passwd =ShimLoader.getHadoopShims().getPassword(conf, HiveConf.ConfVars.METASTOREPWD.varname);
if (passwd != null && !passwd.isEmpty()) {
prop.setProperty(HiveConf.ConfVars.METASTOREPWD.varname, passwd);
}
HadoopShims#getPassword其实是代理了org.apache.hadoop.conf.Configuration#getPassword方法,先从 credential 密钥文件中读取密码,如果不存在再从配置文件中获取
public char[] getPassword(String name) throws IOException {
char[] pass = null;
pass = getPasswordFromCredentialProviders(name);
if (pass == null) {
pass = getPasswordFromConfig(name);
}
return pass;
}
3. 实现步骤
3.1 生成密钥文件
[root ~] hadoop credential create javax.jdo.option.ConnectionPassword -provider jceks://file/hive/conf/hive.jceks
Enter password:
Enter password again:
javax.jdo.option.ConnectionPassword has been successfully created.
org.apache.hadoop.security.alias.JavaKeyStoreProvider has been updated.
这里输入的密码是 metastore 数据库的密码,即 javax.jdo.option.ConnectionPassword 值。文件在生成后可以使用以下命令查看 jceks 文件中包含的配置项
hadoop credential list -provider jceks\://file/hive/conf/hive.jceks
3.2 修改 hive-site.xml 文件
把 javax.jdo.option.ConnectionPassword 从配置文件中删除,并添加以下配置
<property>
<name>hadoop.security.credential.provider.path</name>
<value>jceks://file/hive/conf/hive.jceks</value>
</property>
3.3 重启 hiveserver2 和 metastore 服务
