参考链接:
https://blog.csdn.net/lsshlsw/article/details/103930388
https://blog.csdn.net/wank1259162/article/details/122438175
需要一个高可用的 KMS 服务用于数据静态加密(HDFS 透明加密 / ORC格式列加密),hadoop 原生基于 java keystore 的 KMS 方案在生产环境并不可靠,列了几种可能的方案:
使用内部自建的 KMS ,实现 hadoop provider
使用 CDH 收费的 Navigator Key Trustee Server
使用 Apache Ranger KMS
综合考虑最后选择了方案三,Hadoop KMS是Apache社区开发的,将密钥存入文件(Java keystore)中,而Ranger KMS则是把密钥存入后台数据库中,通过Ranger Admin webui/Api 可以集中化管理KMS服务(密钥管理,访问策略,审计日志)。
create database rangerkms;
alter database rangerkms character set latin1;
create user