ПФ
У нас, блин, бзера через HADOOP_USERNAME можно проставить 🤦 и вперед
Ну так бывает, да
Size: a a a
2021 February 04
K
У нас, блин, бзера через HADOOP_USERNAME можно проставить 🤦 и вперед
Нужна керберизация
ПФ
А пока её нету - накрутить так много слоёв защиты как можно
K
У нас, блин, бзера через HADOOP_USERNAME можно проставить 🤦 и вперед
Иначе любой человек имеющий сеть к кластеру может удалить все
ПФ
K
Нужно или выводить кластер в отдельный сетевой контур
K
Или керберизацию делать
D
Идея с прятанием из морды даёт просто на один слой меньше защиты
А почему, кстати, в таком фиговом сетапе (без керберизации) это не прокатит? Если креды прокидывать енвом, и редачить все упоминанию серкетов через этот регэксп
D
А, типа, он все равно кладет кофиг запуска куда-то в общедоступное место (hdfs)?
ПФ
А, типа, он все равно кладет кофиг запуска куда-то в общедоступное место (hdfs)?
Ну ты же откуда-то прокидываешь? Вот в этом месте и будет видно
D
сам spark-submit запускается с защищенного хоста (это типа контйенер с примаунченным волт сайдкар контейнером), можно "считать", что хотя бы в этой части конструкции все секурно😅
ПФ
Стоп, если там кубик - то весь Спарк в кубике?
ПФ
Тогда же есть сикреты и моего читать оттуда
D
Вот как раз нет
ПФ
А, блин
ПФ
Тогда да, можно закрыть регэкспами или раскидать броадкастом - всё одно, кажется
ПФ
А, не
ПФ
ПФ
Надо же как-то на мастер прокинуть
D
ага