| 名稱 | 值 | 說明 |
| hadoop.kms.http.port | 9600 |
KMS REST API 的 HTTP 埠。
|
| hadoop.kms.http.host | 0.0.0.0 |
KMS REST API 的繫結主機。
|
| hadoop.kms.http.administrators | | 管理員的 ACL,此組態用於控制哪些人可以存取預設 KMS servlet。值應為使用逗號分隔的使用者和群組清單。使用者清單在前面,並以空白分隔,接著是群組清單,例如:「user1,user2 group1,group2」。使用者和群組都是選填,因此「user1」、「 group1」、「」、「user1 group1」、「user1,user2 group1,group2」都是有效的(請注意「 group1」中的前導空白)。「*」授予所有使用者和群組存取權,例如「*」、「 * 」和「 *」都是有效的。
|
| hadoop.kms.ssl.enabled | false |
是否啟用 SSL。預設為 false,即停用。
|
| hadoop.http.max.threads | 1000 |
執行緒的最大數目。
|
| hadoop.http.max.request.header.size | 65536 |
HTTP 要求標頭的最大大小。
|
| hadoop.http.max.response.header.size | 65536 |
HTTP 回應標頭的最大大小。
|
| hadoop.http.temp.dir | ${hadoop.tmp.dir}/kms |
KMS 暫存目錄。
|
| hadoop.http.socket.backlog.size | 500 |
KMS 伺服器接受佇列大小。
|
| hadoop.http.idle_timeout.ms | 60000 |
KMS 伺服器連線逾時(毫秒)。
|
| hadoop.kms.key.provider.uri | jceks://file@/${user.home}/kms.keystore |
KMS 的後端 KeyProvider URI。
|
| hadoop.security.keystore.java-keystore-provider.password-file | |
如果使用 JavaKeyStoreProvider,則為金鑰庫密碼的檔案名稱。
|
| hadoop.kms.cache.enable | true |
KMS 是否會作為後端 KeyProvider 的快取。當快取啟用時,getKeyVersion、getMetadata 和 getCurrentKey 等作業有時會傳回快取資料,而不會諮詢後端 KeyProvider。快取值會在刪除或修改金鑰時清除。
|
| hadoop.kms.cache.timeout.ms | 600000 |
KMS 金鑰版本和金鑰元資料快取的過期時間(毫秒)。這會影響 getKeyVersion 和 getMetadata。
|
| hadoop.kms.current.key.cache.timeout.ms | 30000 |
KMS 目前金鑰快取的過期時間(毫秒)。這會影響 getCurrentKey 作業。
|
| hadoop.kms.audit.aggregation.window.ms | 10000 |
重複的稽核記錄事件會在聚合視窗(以毫秒為單位指定)內壓縮,以減少記錄流量。會在視窗結束時列印聚合事件的單一訊息,以及聚合事件的數量。
|
| hadoop.kms.authentication.type | simple |
KMS 的驗證類型。可以是「simple」(預設)或「kerberos」。
|
| hadoop.kms.authentication.kerberos.keytab | ${user.home}/kms.keytab |
已設定 Kerberos 主體的憑證的 keytab 路徑。
|
| hadoop.kms.authentication.kerberos.principal | HTTP/localhost |
HTTP 端點要使用的 Kerberos 主體。根據 Kerberos HTTP SPNEGO 規格,主體必須以「HTTP/」開頭。
|
| hadoop.kms.authentication.kerberos.name.rules | DEFAULT |
用於解析 Kerberos 主體名稱的規則。
|
| hadoop.kms.authentication.signer.secret.provider | random |
表示用於簽署驗證 Cookie 的機密將如何儲存。選項為「random」(預設值)、「string」和「zookeeper」。如果使用具有多個 KMS 執行個體的設定,應使用「zookeeper」。
|
| hadoop.kms.authentication.signer.secret.provider.zookeeper.path | /hadoop-kms/hadoop-auth-signature-secret |
KMS 執行個體將從中儲存和擷取機密的 Zookeeper ZNode 路徑。
|
| hadoop.kms.authentication.signer.secret.provider.zookeeper.connection.string | #HOSTNAME#:#PORT#,... |
Zookeeper 連線字串,主機名稱和埠號清單,以逗號分隔。
|
| hadoop.kms.authentication.signer.secret.provider.zookeeper.auth.type | none |
Zookeeper 驗證類型,「none」(預設值)或「sasl」(Kerberos)。
|
| hadoop.kms.authentication.signer.secret.provider.zookeeper.kerberos.keytab | /etc/hadoop/conf/kms.keytab |
用於連線到 Zookeeper 的憑證的 Kerberos keytab 的絕對路徑。
|
| hadoop.kms.authentication.signer.secret.provider.zookeeper.kerberos.principal | kms/#HOSTNAME# |
用於連線到 Zookeeper 的 Kerberos 服務主體。
|
| hadoop.kms.audit.logger | org.apache.hadoop.crypto.key.kms.server.SimpleKMSAuditLogger |
KMS 的稽核記錄器。它是 KMSAuditLogger 類別名稱的逗號分隔清單。預設值僅為文字格式的 SimpleKMSAuditLogger。如果未設定此值,將使用預設值。
|
| hadoop.kms.key.authorization.enable | true | 布林屬性,用於啟用/停用每個金鑰授權 |
| hadoop.security.kms.encrypted.key.cache.size | 100 | 快取大小。這是每個金鑰名稱下可快取的 EEK 的最大數量。 |
| hadoop.security.kms.encrypted.key.cache.low.watermark | 0.3 | 快取的低水位標記。對於每個金鑰名稱,如果在 get 呼叫後,快取的 EEK 數量少於 (大小 * 低水位標記),則此金鑰名稱下的快取將非同步填滿。對於每個金鑰名稱,僅 1 個執行緒可以執行非同步填滿。 |
| hadoop.security.kms.encrypted.key.cache.num.fill.threads | 2 | 在快取中填滿佇列時,允許跨金鑰名稱使用的非同步執行緒的總數。 |
| hadoop.security.kms.encrypted.key.cache.expiry | 43200000 | 快取過期時間,以毫秒為單位。內部使用 Guava 快取作為快取實作。過期方式為 expireAfterAccess |