内容提要
RMDelegationTokenSecretManager负责生成和管理delegation token的密码,支持密钥生命周期管理、令牌续期与撤销,确保高可用性和安全性。它使用HMAC-SHA256算法生成密码,适用于长时间运行的任务和代理用户场景。
关键要点
-
RMDelegationTokenSecretManager负责生成和管理delegation token的密码,支持密钥生命周期管理、令牌续期与撤销,确保高可用性和安全性。
-
使用HMAC-SHA256算法生成密码,适用于长时间运行的任务和代理用户场景。
-
核心职责包括生成/验证delegation token密码、管理密钥生命周期、令牌续期与撤销、状态持久化。
-
密钥滚动机制确保当前密钥的安全性,历史密钥可用于验证旧token。
-
令牌生命周期包括创建、续期和过期/撤销,最大生存期和续期间隔有默认值。
-
使用ReentrantReadWriteLock实现线程安全设计,保护所有状态。
-
支持HA故障恢复,能够在RM重启时恢复状态。
-
典型使用场景包括长时间运行的任务、代理用户场景和YARN RM HA场景。
-
关键配置参数包括密钥更新间隔、令牌最大生命周期和续期间隔。
-
安全特性包括密钥轮换、密码验证、权限校验、过期机制和持久化安全。
延伸问答
RMDelegationTokenSecretManager的主要功能是什么?
RMDelegationTokenSecretManager负责生成和管理delegation token的密码,支持密钥生命周期管理、令牌续期与撤销,确保高可用性和安全性。
RMDelegationTokenSecretManager如何确保密码的安全性?
它使用HMAC-SHA256算法生成密码,并通过密钥滚动机制确保当前密钥的安全性,历史密钥可用于验证旧token。
RMDelegationTokenSecretManager的令牌生命周期是怎样的?
令牌生命周期包括创建、续期和过期/撤销,最大生存期和续期间隔有默认值,分别为7天和24小时。
如何实现RMDelegationTokenSecretManager的线程安全?
使用ReentrantReadWriteLock实现线程安全设计,保护所有状态,确保读写操作的安全性。
RMDelegationTokenSecretManager支持哪些使用场景?
典型使用场景包括长时间运行的任务、代理用户场景和YARN RM HA场景。
RMDelegationTokenSecretManager如何处理故障恢复?
它实现Recoverable接口,能够在RM重启时恢复状态,包括恢复MasterKey和Token。
